David Fairman: Si piensa en la ciberseguridad, somos solo un subconjunto de un riesgo operativo más amplio. En realidad, el riesgo operativo tiene un enfoque mucho mejor, o un poco más de madurez para poder cuantificar el riesgo operativo en la organización. Los CISO deben poder enfrentarse cara a cara y poder tener una discusión en igualdad de condiciones con respecto a la reducción de riesgos para este subconjunto de riesgo operativo. Y ahí es realmente donde estamos. Creo que como industria, como práctica, como profesión, debemos ser mucho más inteligentes a la hora de descubrir cómo hacer que esta conversación sea mucho más cuantitativa.
Orador 2: Hola y bienvenido a Security Visionaries. Acaba de escuchar a uno de los invitados de hoy, David Fairman, director de información y seguridad para Asia-Pacífico de Netskope. A medida que preparamos nuestros sitios para el nuevo año, los líderes tecnológicos anticipan una lista creciente de vulnerabilidades, riesgos y tendencias de seguridad. Para comenzar el año 2023, reunimos a algunos de los líderes más destacados de la industria para compartir sus predicciones y resoluciones. Antes de sumergirnos en la entrevista, aquí hay unas breves palabras de nuestro patrocinador.
Orador 3: El podcast Security Visionaries está desarrollado por el equipo de Netskope. En Netskope, estamos redefiniendo la seguridad de la nube, los datos y las redes con una plataforma que proporciona acceso optimizado y seguridad de confianza cero para personas, dispositivos y datos dondequiera que vayan. Para obtener más información sobre cómo Netskope ayuda a los clientes a estar preparados para cualquier cosa en su atrevido viaje, visite NETSKOPE.com.
Orador 2: Sin más preámbulos, disfrute del episodio 17 de Security Visionaries con David Fairman, Ilona Simpson y su presentador Mike Anderson. Mike Anderson: Bienvenido a nuestro próximo episodio del podcast Security Visionaries. Soy su anfitrión, Mike Anderson. Soy nuestro director de información y digital aquí en Netskope. Tengo algunos invitados muy especiales aquí hoy. El año pasado hicimos un episodio de predicciones en nuestra primera temporada de Visionarios de la seguridad donde hablamos sobre predicciones para 2022. Hoy vamos a hablar de predicciones para 2023. Lo que es interesante aquí porque nuestro tema ha sido muchos CIO en nuestra pista de lona este año, hoy tenemos a Dave Fairman. Dave tiene una perspectiva única porque es nuestro CIO y nuestro director de seguridad para Asia-Pacífico, y ha sido un veterano de la industria en el ámbito de la seguridad y un líder intelectual allí. Y luego viene Ilona, nuestra CIO para Europa y América Latina. Y Ilona tiene una amplia experiencia en la fabricación, tanto en el ámbito industrial como en el de productos de consumo.
Emocionado por esta conversación para escuchar las predicciones. Entonces, con el 2023 a la vuelta de la esquina, estoy emocionado de tenerlos a ambos para compartir algunas de sus predicciones. Por eso quiero empezar primero con Ilona. Tenía una predicción remota sobre el metaverso industrial y, citando en el artículo, dijo: "Veremos un reconocimiento más amplio del metaverso industrial y sus componentes clave. El gemelo digital en el taller, en combinación con la automatización y optimización de la cadena de suministro a través de modelos AIML, son reales y relevantes. Brindar la oportunidad de impulsar un cambio tecnológico profundo como una iniciativa de cadenas comerciales". Entonces Ilona, ayúdame a desentrañar esa predicción y dame tu opinión.
Ilona Simpson: Bueno, gracias Mike. Es bueno estar aquí. Si hubiera una competencia por el término tecnológico más publicitado, oscuro y polarizador en 2022, estoy seguro de que algunos votarían por el metaverso. Pero si comenzamos con las definiciones, soy un tecnólogo, por lo que mi punto de vista será diferente al de los especialistas en marketing o al de alguien que dirige el comercio electrónico. En primer lugar, para mí el metaverso es una construcción hipotética. Representa la fusión de lo físico y lo digital y tiene tres componentes. Son identidades, propiedades y espacios. Y diferenciaría entre tres áreas principales según la aplicación del metaverso, que son el metaverso del consumidor, su versión empresarial y el metaverso industrial.
Y acercándonos al metaverso industrial, nuevamente, la fusión de lo físico y lo digital y sus identidades, propiedades y espacios. La traducción fundamental más directa, y no simple, a la tecnología es un taller de gemelos digitales. Llevamos más de una década utilizando el gemelo digital y la automoción. Se ha enriquecido con AIML y se puede ampliar para incluir la cadena de suministro. Y el objetivo final del ejercicio es la optimización mediante simulación y en base a decisiones basadas en datos. Y mis preguntas e respuestas de los viejos tiempos escolares de TI: la cadena de valor de planificar, construir y ejecutar. Y en el contexto industrial planificamos, construimos y gestionamos fábricas y plantas de fabricación. Así que planifique y cree casos de uso ciertamente importantes. Pero al observar el metaverso industrial, ejecutar es el que tiene una escala real, pero también la mayor complejidad porque para una fábrica existente y un metaverso industrial como gemelo digital de esa fábrica en la nube, tenemos datos de sensores del equipo que se recopila y transportado a la nube donde puede reconocer anomalías, correlacionar datos, aplicar algoritmos y evaluar escenarios.
Pero al caminar por las plantas de fabricación, las salas de montaje o las instalaciones de almacenamiento actuales, encontraremos equipos que incluyen robots de varios proveedores con sensores construidos con diferentes especificaciones, que están armando lo que llamamos un equipo inteligente o conectado. Deja en las calles el potencial de optimización del taller en su conjunto. Entonces, en mi opinión, el metaverso industrial es dar un paso más para observar el ecosistema, observar la planta, observar el piso de producción en su totalidad y dar un paso más hacia la cadena de suministro de terceros. El impacto potencial de la optimización es exponencial. Y recientemente también hubo casos de uso en torno a la sostenibilidad, las emisiones y temas que son muy actuales y muy relevantes en estos días para todos nosotros.
Mike Anderson: Sí, quiero hacer una pregunta sobre eso antes de pasar a David. Cuando pienso en el metaverso industrial y simplemente en procesar lo que acaba de decir, si pienso en el gemelo digital, a menudo miro la pantalla de una computadora para simular lo que los cambios en mi proceso de fabricación afectarían a la producción que puedo crear en mi línea de fabricación. Entonces, si pienso en el mundo híbrido actual, donde tengo líderes en la cadena de suministro en todo el mundo. Básicamente, estoy haciendo de esto una experiencia inmersiva para ver cómo se vería ese gemelo digital. Entonces creo una colaboración más inmersiva. ¿Te entendí bien en eso?
Ilona Simpson: Absolutamente. Es una colaboración más inmersiva. Lo mismo ocurre con los datos, la granularidad de los datos es la potencia informática que tenemos a nuestro alcance. Es la calidad de la expresión de las decisiones basadas en datos que toma una dimensión muy diferente.
Mike Anderson: Tal vez en este metaverso pueda parecer más en forma en esa experiencia inmersiva cuando interactúo con mis compañeros. Así que estoy deseando que llegue eso. David, sé que tienes cierta pasión por este tema. Comparta con nosotros sus pensamientos sobre el metaverso hasta 2023 y más allá.
David Fairman: Sí, mira, creo que particularmente en este año específicamente, hemos visto mucho ímpetu, mucho crecimiento en el metaverso. Creo que eso sólo va a continuar. Entonces, si pensamos en marcas como Nike, Gucci, Samsung, Louis Vuitton, todas han creado una presencia en varias plataformas del metaverso. Si nos fijamos en el sector bancario, JP Morgan y HSBC, han establecido sucursales para que el metaverso pueda participar y comercializar en ese espacio. Así que creo que veremos cada vez más marcas grandes construir, diseñar o crear nuevos modelos de negocio que les permitirán crear oportunidades de crecimiento en este mundo digital, en este metaverso.
Creo que hemos visto muchas olas enormes o un gran crecimiento en la atención médica, los juegos, la moda y la educación. Y creo que en 2023 apenas comenzaremos a ver que eso se acelera. Y creo que, aprovechando algo que Ilona dijo sobre los gemelos digitales, lo que acabo de mencionar sobre educación y capacitación, creo que el metaverso jugará un papel realmente clave en cómo capacitamos a la fuerza laboral del futuro. Y creo que lo que vamos a empezar a ver es que ya tenemos este desafío después de COVID y este trabajo desde casa, este mundo híbrido de organizaciones que hacen que sus empleados regresen a la oficina. La razón por la que quieren que los empleados regresen a la oficina es para que puedan tener esas interacciones informales que solíamos tener cuando estábamos en la oficina. Esas conversaciones en los pasillos, ese entrenamiento y esa tutoría que recibes cuando estás en un ambiente contenido juntos.
Creo que lo que vamos a empezar a ver es que empezaremos a ver esta fuerza laboral digital muy similar a la del taller digital. Será una oficina digital donde podremos comenzar a brindarles a nuestros empleados una experiencia muy similar a la que tenían cuando estaban físicamente en la oficina. Así que recibiremos ese entrenamiento, recibiremos esa capacitación, tendremos estas interacciones informales. Y creo que esa será una forma de compensar tal vez algunos de los beneficios que perdimos después de COVID y trabajar en una oficina física. Entonces ahí es donde creo que comenzaremos a ver que eso definitivamente evoluciona.
Mike Anderson: No, eso es bueno. Quiero decir, definitivamente lo he visto en las empresas B2C, como mencionaste los bancos. Si pensamos en nuestra próxima generación de trabajadores, el metaverso resulta muy atractivo. Al tener [inaudible 00:09:30], lo que yo diría adultos jóvenes o adolescentes, definitivamente viven frente a su teléfono. Por eso creo que poder conectarse digitalmente con las personas es algo que le interesa más a esa nueva fuerza laboral. Así que es interesante, yo también vi una estadística interesante de que Facebook ahora Meta está invirtiendo 20 mil millones de dólares el próximo año en el metaverso y tiene planes en los próximos cinco años para invertir más de cien mil millones de dólares. Hay una gran inversión para crear un mercado para esto. Así que definitivamente será interesante desarrollarlo. Entonces, con eso, ¿qué resolución les ofrecería a los líderes tecnológicos y de seguridad que deberían tomar para 2023 con respecto al metaverso?
Ilona Simpson: Mi opinión sobre esto es que no se distraigan con los rumores y las exageraciones, observen la esencia de cómo será el siguiente paso que aportará valor a la organización. Qué datos se generan, transportan y procesan, aplique los aprendizajes de TI, observe cómo asegurar ese nuevo modelo de negocio, cómo integrar y lograr sinergias con áreas de tecnología empresarial que hemos madurado durante muchas décadas.
Mike Anderson: Eso es genial. David, ¿algún consejo que puedas dar?
David Fairman: Sí, creo que obviamente hay mucho valor por desarrollar y las organizaciones explorarán este camino. La pieza que haría, siendo el gestor de riesgos que soy, es pensar en los nuevos riesgos que van a surgir como resultado de este nuevo mundo digital. El trabajo y los requisitos de privacidad y seguridad al respecto evolucionarán rápidamente. Entonces, ¿cómo piensa preparar a su fuerza laboral tecnológica para pensar en estos escenarios y prepararlos a medida que la empresa comienza a construir nuevos modelos de negocios y crear nuevas capacidades? ¿Cómo podrá gestionar ese riesgo digital para su organización? Y como tecnólogos y líderes a la hora de impulsar la estrategia y la dirección de la tecnología, debemos estar listos y preparados para poder afrontar algunos de esos riesgos y poder articularlos. Así que empieza a pensar en eso ahora.
Ilona Simpson: Y tal vez para agregar a lo que Dave acaba de decir, la seguridad por diseño es algo que hemos aprendido. No se trata solo de aprender en términos de tecnología, sino también de cultura, procesos, marcos, etc. Entonces, ese cambio hacia la izquierda que hemos estado defendiendo y que se aplica realmente bien en esta situación particular.
Mike Anderson: Definitivamente me gusta la predicción. Siempre me gusta decir que cada vez que hay una nueva tendencia tecnológica, es mejor que la conozcas porque va a llegar. Tu CEO o tus ejecutivos te van a decir, ¿qué opinas sobre esto? Porque, por supuesto, todo lo relacionado con la tecnología llega al CIO o al CTO.
Ilona Simpson: Mike, me enfrenté a una situación en la que mi junta directiva me hablaba de WhatsApp porque los ejecutivos de IBM llegaban a la sala de juntas más rápido que la función tecnológica.
Mike Anderson: Hace mucho tiempo, cada vez que aparecía un teléfono nuevo en la televisión, iba a comprar uno solo porque sabía que uno de nuestros ejecutivos lo tendría mañana y nuestros equipos necesitaban poder ayudarlo. . Así que grabe esos comerciales de televisión. Está bien. Voy a pasar a nuestra próxima predicción. Entonces, David, tuviste una predicción muy interesante sobre la informática confidencial y la cita que utilizaste es: "Creo que veremos que la informática confidencial gana un impulso significativo a medida que las organizaciones reevalúen su tecnología y su pila de seguridad. Y se convertirá en un foco de inversión clave en la mayoría de los presupuestos de seguridad o tecnología en 2023 o 2024". Entonces, ¿por qué tiene en mente esta predicción para 2023 y qué ganan los usuarios con la informática confidencial?
David Fairman: Sí, mira, creo... Bueno, hablemos primero sobre la informática confidencial y qué es. La informática confidencial es en realidad la protección de datos mediante un entorno de ejecución confiable basado en hardware. En la práctica, es el enclave seguro dentro del hardware en el que se procesan, ejecutan y manipulan nuestros datos. Es un entorno que brinda garantía sobre la integridad de los datos, la confidencialidad de los datos y la integridad del código. Y lo que permite es que permite a las organizaciones procesar datos de forma segura independientemente de los compromisos del código subyacente. De modo que los datos funcionan completamente dentro de este enclave seguro y están protegidos.
Si piensa en uno de los desafíos que hemos visto con la computación en la nube, a la gente le preocupa que esos datos estén en la nube. Y creo que lo hemos hecho muy, muy bien en términos de comprender los datos en tránsito, los datos en movimiento y los datos en reposo. Pero los datos en uso, los datos en la memoria, son la conversación que siempre vuelve. Entonces creo que está el auge de la informática confidencial y ha habido grandes avances en este espacio en los últimos años. Realmente hemos llegado a un punto en el que estamos viendo que algunos de los grandes hiperescaladores y grandes proveedores de nube comienzan a seguir este camino e implementarlo en su hardware. Así que creo que lo que vamos a empezar a ver es que la informática confidencial se convierte en la piedra angular de una capacidad de seguridad para ayudar a las organizaciones a acelerar su transición a la nube.
Y creo que esto es algo grandioso para las organizaciones y creo que realmente nos ayuda a cubrir ese riesgo del que hemos estado hablando durante muchos, muchos años. Y si piensa en el año pasado, podría decirse que ha habido un aumento significativo en las vulnerabilidades y exploits del firmware. Entonces, si combinas esas dos cosas, esta es una capacidad de herramienta realmente buena que podemos usar para ayudar a garantizar que tengamos la integridad y la confidencialidad de los datos cuando los datos salen de nuestro entorno.
Ilona Simpson: Y tal vez para añadir a lo que dijo Dave, considero que la informática confidencial tiene el potencial de aumentar drásticamente la productividad cuando se trata de informática multisocio. Y simplemente mirando el sector automotriz donde se está desarrollando el software INCA, no solo uno, dos o un puñado de socios, sino donde hay una capa de proveedores de nivel uno y nivel dos con alrededor del 30% de ese valor creado por los propios OEM. Eso permite que la solución de un extremo a otro se desarrolle de manera confidencial y eso realmente podría cambiar las reglas del juego. Proporciona gobernanza, protección mejorada, como dijo Dave, y mejora la productividad.
Mike Anderson: Sí, es interesante. Me hace pensar que estaba teniendo una conversación con algunas agencias federales grandes y estaban hablando sobre la capacidad y lo específico, esto se centraba en datos de atención médica y estaban hablando de asociaciones público-privadas para analizar y procesar datos para el mayor bien. Y esto es específico de los Estados Unidos, pero es interesante porque creo que eso influye en cómo se permite eso, suena como ese intercambio y colaboración confidenciales sobre nuestra información, Ilona, como dijiste, la industria manufacturera. por partes que no trabajan para la misma empresa. ¿Cómo lo hago de una manera confiable donde esos datos permanecen confidenciales? Así que creo que definitivamente tiene muchas posibilidades en el futuro. Entonces, para que la gente comience, ¿qué tipo de resolución deberían tomar los líderes tecnológicos en lo que respecta a la informática confidencial en 2023? Entonces David, comenzaré contigo. Entonces Ilona, ¿por qué no nos das la tuya también?
David Fairman: Creo que la solución que recomendaría es comenzar a investigar cómo su organización puede comenzar a aprovechar la informática confidencial y acelerar su migración a la nube, al tiempo que reduce el riesgo. Sea esa voz impulsora en la organización tecnológica y sea visto como un innovador y un facilitador para su organización. Aproveche estas capacidades.
Ilona Simpson: Curiosamente, creo que este será impulsado por BDP de ingeniería, ingeniería de software y no por CISO. Y ahí mi resolución sería ver cuál es la fruta más fácil para un piloto y ser consciente de cómo implementarlo e implementarlo. Creo que aún así, aunque los hiperescaladores, Dave, como usted dice, están en camino, también tenemos un consorcio transfronterizo y hay muchos recursos disponibles que aún están en su fase incipiente, consideraría que las empresas tradicionales busquen donde quieran. Puede realizar una prueba piloto de concepto y observar la hoja de ruta para una ejecución realista.
Mike Anderson: Eso es genial. Creo que cuando pensamos en el riesgo [inaudible 00:17:42], ojalá tengamos ese vicepresidente de ingeniería porque la seguridad es un deporte de equipo. Esperemos que tengamos esa mentalidad de riesgo con nuestros líderes de ingeniería para no meternos en problemas desde el principio. Seguridad por diseño, como dijiste antes, Ilona. Quiero llevarnos a nuestra próxima predicción. Hemos estado hablando un poco más de esto, que es la necesidad de planes cuantificados de reducción de riesgos.
Entonces David es nuestro experto residente en reducción de riesgos. La cita que recibí de usted es: "Las empresas, específicamente las juntas directivas, querrán más planes cuantificados basados en datos para la reducción de riesgos. El desafío será que los CISO demuestren que están obteniendo la mayor reducción de riesgo por cada dólar que gastan. Como resultado, habrá más atención a la evidencia empírica basada en datos". Entonces, David, ¿puedes dar más detalles sobre esta predicción y por qué las evaluaciones cualitativas no están dando resultados suficientes?
David Fairman: Sí, claro. Pensemos en las etapas por las que hemos avanzado desde una perspectiva de inversión cibernética. Llevo mucho tiempo en este juego. Creo que comenzamos donde las organizaciones simplemente no estaban invirtiendo en seguridad de la información como puntuaban en la fecha o en ciberseguridad. Y luego pasamos a este modo en el que se convirtió en que las juntas directivas de la organización comenzaban a entenderlo y luego comenzaron a hacer preguntas sobre, bueno, ¿estamos gastando lo suficiente? Luego eso evolucionó hasta un punto: ¿lo estamos gastando en las cosas correctas? Y creo que ahora en los mercados financieros en los que estamos, el estado de los mercados y dónde nos encontramos, las juntas directivas están empezando a preguntarse: ¿obtendremos una reducción de riesgo máximo por cada dólar que gastamos en nuestro programa de ciberseguridad? ¿O nuestro programa de riesgo tecnológico?
La conversación cualitativa que dice que vamos a pasar de un riesgo alto a uno medio, simplemente no es suficiente. No se puede relacionar eso con una discusión comercial y un foro. Y si piensa en la ciberseguridad, somos solo un subconjunto de un riesgo operativo más amplio. En realidad, el riesgo operativo tiene un enfoque mucho mejor o un poco más de madurez para poder cuantificar el riesgo operativo en la organización. Los CISO deben poder enfrentarse cara a cara y tener una discusión parodia sobre la reducción del riesgo para este subconjunto de riesgo operativo, y ahí es realmente donde estamos. Creo que como industria, como práctica, como profesión, debemos ser mucho más inteligentes a la hora de descubrir cómo hacer que esta conversación sea mucho más cuantitativa.
Y el desafío clave en torno a esto es que es necesario tener los datos correctos, y creo que eso es lo que realmente nos ha detenido. Creo que, como profesión de seguridad o cibernética, cuantificar esto es asegurarnos de que tengamos la fuente de datos correcta. capaz de obtener el resultado correcto y tener los modelos adecuados en torno a eso. Hemos visto muchos avances en este espacio durante los últimos cinco o seis años. Comenzamos con un análisis justo y objetivo del riesgo de la información y ahora hemos visto modelos como el Cyber VaR comenzar a evolucionar donde estamos. Ahora estamos empezando a ser capaces de vincular nuestro riesgo o equiparar nuestro riesgo en la parodia con otros riesgos operativos. Entonces ahora podemos comenzar a tener esa discusión comercial y ya sabes, pensar en cuál es el papel de la junta, el papel de la junta y el papel del Exco es asegurarse de que gestionen equitativamente el riesgo de la organización para lograr los objetivos de crecimiento de la organización.
Y parte de esos objetivos de crecimiento es asegurarnos de que gastemos cada dólar en la organización de la manera correcta y equilibremos ese riesgo para ese crecimiento. Obviamente, ese es el catalizador natural que impulsa esta conversación sobre riesgos.
Mike Anderson: Ilona, ¿cuál es tu opinión sobre los planes cuantificados para la reducción de riesgos? ¿Algo que quieras agregar a lo que David estaba diciendo?
Ilona Simpson: Estoy totalmente de acuerdo con todo lo que dijo Dave. Personalmente, me gustan los números y nosotros, como organizaciones, juntas directivas y funciones, aprendimos nuestra manera de expresar nuestra comprensión del negocio a través de los números. Y si lo miramos, ya sea un PnL, ya sea un flujo de caja, ya sea un puntaje neto de promotor para la satisfacción del cliente, toda la organización puede hablar, puede expresar el estado de la nación, por así decirlo, en números. Así que solo puedo respaldar lo que dijo Dave, ya es hora de tomar asiento en la mesa y poder expresarlo en ese lenguaje universal como lo hacen los demás miembros de la junta directiva o Exco, eso es invaluable.
Mike Anderson: Estoy totalmente de acuerdo cuando pienso en la estrategia de la cadena de suministro y si pienso en las materias primas, puedo tomar una decisión de riesgo para obtener un menor costo por la materia prima de un proveedor que no es la postura de seguridad deseada y esa es una decisión de riesgo. que puedo hacer. O puedo tomar la decisión de tener un precio de materia prima más alto, pero de proveedores que tengan una mejor postura de seguridad porque tengo menos posibilidades de sufrir interrupciones, o podría tener una combinación de eso. Entonces, tener esa conversación entrelazada sería solo un ejemplo que me viene a la mente en torno a todo este tema, ¿cómo cuantifico el riesgo en mi proceso de toma de decisiones? Entonces, mi pregunta para ambos sobre esto, y nuevamente para David. Comenzaré con usted, ya que usted nos inició con esta predicción, es: ¿qué resoluciones deberían tomar los líderes tecnológicos para comunicar mejor el valor de la seguridad en términos de esta reducción de riesgos al público? ¿Junta Directiva?
David Fairman: Creo que hay dos cosas que quiero decir. Una de las cosas hermosas de la cuantificación del riesgo es que tenemos la capacidad de tomar decisiones de compensación. Si invertimos X cantidad aquí, podemos reducir nuestro valor en riesgo en Y. Si invertimos en diferentes áreas, podemos reducir nuestro valor en riesgo en Z. Entonces podemos comenzar a tener conversaciones reales y tangibles sobre compensaciones para demostrarlo. Ahora, para hacer eso, volvemos a un hilo que comencé a abrir en esa sesión anterior sobre cómo asegurarnos de que tengamos los datos correctos.
Entonces, para mí, la solución es asegurarse de que una vez que comience a pensar en este camino, no vaya directamente a la cuantificación del riesgo, comprenda cuál es la verdadera fuente de datos que necesitará para poder ejecutarla y obtener esos datos. Fuentes correctas, la basura que entra es igual a la basura que sale. Obtenga las fuentes de datos, establezca esas bases correctas y luego podrá tener un resultado realmente bueno y una conversación realmente productiva porque la gente no cuestionará los datos, la gente se irá con los datos y entonces podrán tener una muy buena conversación basada en datos sobre esto.
Ilona Simpson: Sí, no hagas de esto una pseudociencia, ¿no?
David Fairman: Exactamente.
Ilona Simpson: Pero quizás, además, los planes cuantificados de reducción de riesgos son un deporte de equipo. Y lo veo en esta ocasión, es una cuestión financiera y de riesgo, pares que están ahí para brindar su experiencia y aportar su guía de CM para que sea un enfoque compartido. Además de que no podemos conseguirlo, esto no es algo que una función haga de forma aislada, por lo que la aceptación de toda la empresa y el trabajo conjunto con una base de partes interesadas más amplia es esencial.
Mike Anderson: Sí, y creo que ambos están en lo cierto: si pienso en la reducción de riesgos, es posible que la inversión real ni siquiera esté en el presupuesto del CIO o del CISO, sino en el presupuesto del equipo operativo. implementar los controles adecuados para reducir ese riesgo. Entonces, creo que eso requiere ese pensamiento deportivo de equipo, ¿cómo asegurarse de obtener las inversiones en las áreas correctas para asegurarse de que realmente pueda implementar los planes de reducción de riesgos que ha alineado desde el punto de vista de la junta directiva?
Ilona Simpson: Además de empezar a cuantificar, creo que la cuantificación es una gran barrera de entrada y hay que empezar con la matriz de evaluación de riesgos. Ésa es la base de esto.
Mike Anderson: Sí. Los números hablan más que los sentimientos a la hora de tomar decisiones empresariales, eso es seguro. Así que quiero pasar a nuestra próxima predicción aquí. Esta es una predicción de la que hemos escuchado mucho sobre la convergencia de prioridades para la red de seguridad y los equipos de tecnología como resultado de la transformación. Entonces, Ilona, ¿cómo ves esto desde tu perspectiva como CIO en el lado tecnológico?
Ilona Simpson: Bueno, veo que la seguridad y la convergencia de la red comienzan con eso, desde la perspectiva de un CIO significa que si bien las funciones están ahí y están ahí para quedarse, las prioridades se comparten cada vez más, así como las funciones de extremo a extremo. proceso finalizado. Y analizamos desde las decisiones estratégicas hasta las elecciones arquitectónicas y la ejecución que necesita una fuerte alineación. Y si este no es el caso, tu uno más uno se deteriorará rápidamente a 0,5, aunque existe la posibilidad de que sea un tres. Esto significa que los temas de estrategia y arquitectura están surgiendo al nivel de los equipos de liderazgo de TI y los CIO. Y también creo que beneficiaría a los CIO tal vez un comportamiento diferente, estamos acostumbrados a delegar decisiones funcionales a los respectivos jefes. Ahora bien, el paradigma de convergencia es una invitación o nos obliga a mirar nosotros mismos la sala de máquinas de TI, porque las perspectivas son intrínsecamente diferentes y el papel de un CIO es el de ser un árbitro cuando se trata de colaboración interfuncional. , analizando cómo priorizar y reuniendo nuevamente las perspectivas.
Mike Anderson: Sí, definitivamente te conviertes en el constructor de puentes cuando se trata de esas organizaciones. Normalmente les diría a sus líderes funcionales que vayan a una habitación, lo resuelvan y regresen conmigo con un plan. Y a veces es posible que tengas que involucrarte más en esto porque hay una gran cantidad de cambios involucrados en esto. Y, obviamente, cuando se habla de seguridad y equipos de red, el presupuesto para seguridad, gran parte provino del presupuesto de red e infraestructura. Entonces, siempre existe la presión de agregar complejidad percibida en el lado de la seguridad cuando los equipos de redes de infraestructura buscan simplicidad porque su presupuesto no es tan grande como el año anterior.
De modo que el CIO es la única persona que se encuentra entre ambos. Definitivamente es una buena predicción. Entonces, David, dada su experiencia en seguridad y ahora que tiene la responsabilidad de CIO y director de seguridad aquí para la región APAC, ¿cómo ve esa convergencia? ¿Cómo ve usted que se manifiestan estas prioridades? Quiero decir, sé que tenemos varios CISO que se han convertido en CIO en la región de Asia y el Pacífico. Quiero decir, los has visto tú mismo o llevan ambos sombreros. Entonces, ¿cómo ves que se unen?
David Fairman: Mira, creo que tener experiencia previa o especialización en seguridad te hace pensar las cosas de manera diferente como CIO, y pienso en un primer mundo de la nube, y esto es a lo que siempre vuelvo, en un primer mundo de la nube. la red interna casi ya no existe. Internet es ahora la red. Y cuando hablamos, si pensamos en el viejo mundo de las redes, solíamos decir, bueno, los chicos de la red simplemente construyen las carreteras y los chicos de seguridad colocan los semáforos y las barandillas. Bueno, eso no funciona porque ya no necesariamente están construyendo las carreteras. Pero como digo, el camino ahora es Internet. Entonces, realmente estamos hablando de crear esta facilitación o esta vía, este mecanismo para poder llevar datos de un entorno de procesamiento a otro entorno de procesamiento.
Ahora no se puede tener una conversación sobre cómo habilitarlo sin pensar en la seguridad de esos datos. Entonces creo que, para mí, los equipos de red y los equipos de seguridad deben estar unidos. Lo que los equipos de red y los equipos de infraestructura están haciendo ahora es construir estos mecanismos para poder transferir estos datos entre diferentes entornos para poder crear valor para la organización. Como resultado de eso, tienen que empezar a pensar en la seguridad de esos datos. Entonces, lo que estamos empezando a ver es que ahora estas conversaciones se están volviendo... Y, de hecho, las funciones mismas están empezando a pensar de manera mucho más amplia y están empezando a pensar en estas cosas, de modo que la colaboración es cada día más estrecha.
Y me gusta usar la analogía: se necesitan dos manos para aplaudir. Así que no puedes simplemente construirlo y dejarlo ir. Debes construirlo y asegurarte de que esté sano y salvo. Y eso es realmente lo que estamos empezando a ver.
Mike Anderson: Entonces, cuando piensa en las resoluciones para los líderes tecnológicos en lo que respecta a esta convergencia de prioridades, ¿qué consejo les daría para presentar las resoluciones para 2023?
Ilona Simpson: Incluirlo en la agenda de las reuniones estratégicas de liderazgo de TI, cualquiera que sea su forma.
David Fairman: Sí, creo que para mí es muy similar a eso. Se trata de impulsar esa conversación centrada en la protección de datos en toda su organización tecnológica, reconociendo que el activo crítico que nos importa ahora son los datos. Entonces, independientemente de cómo queramos manipular, realizar transacciones o transitar esos datos de cualquier manera, cómo nos aseguramos de que las partes interesadas adecuadas y el equipo de seguridad sean una gran parte de eso, los equipos de riesgo son una gran parte de eso. Las partes interesadas adecuadas están involucradas en esas discusiones y estamos trabajando en colaboración e incorporando a esas partes interesadas a cualquiera de las conversaciones o iniciativas que tenemos en marcha.
Mike Anderson: Definitivamente un gran consejo.
Ilona Simpson: Un consejo fantástico. Ahora Mike, Dave y yo hemos estado hablando mucho. ¿Tendrías una predicción para compartir con nosotros también?
Mike Anderson: Esto puede ser evidente, la consolidación de proveedores obviamente en un mercado recesivo que se avecina y la tormenta perfecta o los desafíos de la fuerza laboral, todos están revisando su pila tecnológica para ver dónde pueden consolidarse, dónde pueden reducir el gasto. Quiero decir, esta mañana estuve en dos conversaciones con líderes tecnológicos que están analizando eso. Ya lo hemos visto en las noticias. Lo que creo que va a ser diferente es que hay una gran diferencia entre la consolidación de proveedores en un conjunto de productos bajo una sola marca donde cada producto requiere un conjunto diferente de habilidades para mantener y operar, frente a una estrategia de consolidación de proveedores en una plataforma donde puedo capacitar a alguien para que utilice una tecnología que pueda manejar los mismos objetivos que la suite. Pero donde puedo tener una persona capacitada para conseguir escala.
Por eso creo que las plataformas serán las ganadoras en este aspecto de consolidación de proveedores. Y tradicionalmente, muchas veces surge simplemente de los vientos económicos en contra, pero el hecho de que no tenemos la gente, incluso si tenemos los presupuestos, crea otro desafío, que es: ¿cómo puedo simplificar? Mi cita favorita es la de Da Vinci: "La simplicidad es la máxima sofisticación. La complejidad es enemiga de la seguridad." Entonces, ¿cómo impulsamos una estrategia de plataforma? Y hoy estuve hablando con un CIO de una plataforma de integración como empresa de servicios, y él está analizando cómo pueden consolidar herramientas en sus propios entornos y está hablando con otros CIO sobre esas mismas prioridades.
Por eso siento que las plataformas van a ganar en esta consolidación de proveedores debido a los desafíos de la fuerza laboral que tenemos al mismo tiempo por el hecho de que no podemos encontrar talento. Esa sería mi resolución. Y lo que le diría a la gente es que se aseguren de mirar más allá de la marca y mirar debajo de las sábanas y ver si están comprando un conjunto de productos o están comprando una plataforma. Porque lo que quieres hacer es invertir en plataformas que no sólo puedan resolver tus desafíos financieros, sino también tus problemas de talento.
Ilona Simpson: Es una idea brillante para poner fin a las predicciones. Gracias mike.
Mike Anderson: No, absolutamente. Bueno, quiero agradecerles a ambos por su tiempo. Tuvimos algunas resoluciones excelentes en torno a estas predicciones tan rápidamente en el metaverso industrial, creo que realmente es hacer un inventario para descubrir cómo se cruza esto con otras cosas que ya estás haciendo, como el gemelo digital, y cómo se desarrolla esto desde un punto de vista de seguridad y riesgo. David, desde tu perspectiva, si estoy en un negocio B2C como financiero o de consumo, ¿cómo me aseguro de pensar en el riesgo y los elementos de privacidad de los datos? Si voy a la informática confidencial, lo que escuché de ustedes dos es cómo pienso en la colaboración entre industrias, entre empresas de una manera en la que no se trate solo de datos en reposo, datos y movimiento, Dave, como estabas hablando. , pero son datos y uso. Entonces, ¿cómo protejo los datos y los uso de manera que las partes puedan colaborar juntas?
Cuando paso a los planes cuantificados de reducción de riesgos, en realidad es lo primero, como dijiste, David, me encanta la basura que entra y la basura que sale. Debe obtener los datos para determinar qué datos necesita para poder medir el riesgo y poder cuantificarlo. Y Ilona, tu punto es que a la gente le gustan los números, todos hablamos de números como NPS y otras cosas. Por eso es importante para nosotros utilizar esa misma mentalidad cuando hablamos con nuestras juntas directivas y con nuestras empresas sobre cómo cuantificamos el riesgo. Y el último es el de esta convergencia y las prioridades en torno a la seguridad y las redes. Y realmente requiere que profundicemos más en nuestros equipos para asegurarnos de que estamos superando esas brechas. Y como dijiste, David, no se puede aplaudir sin las dos manos. Por eso debemos ser nosotros quienes ayudemos a facilitar los aplausos de la manera correcta.
Y creo que esas son excelentes resoluciones y excelentes cosas y consejos para cualquiera que escuche nuestro podcast. Y realmente les agradezco a ambos por compartir su experiencia y sabiduría con nosotros sobre sus predicciones para 2023. Miraremos hacia atrás dentro de un año y veremos qué tan bien se desarrollan, mientras pensamos en cuáles son nuestras predicciones para 2024. Ese es todo el tiempo que tenemos hoy. Gracias por escuchar el episodio de hoy del podcast Security Visionaries. Soy su anfitrión, Mike Anderson. Soy el CIO y director digital de Netskope. Hoy me acompañaron Ilona, nuestra CIO para Europa y América Latina, y David Fairman, nuestro CIO y director de seguridad para Asia-Pacífico. Gracias y feliz escucha.
Orador 3: El podcast Security Visionaries está desarrollado por el equipo de Netskope, es rápido y fácil de usar. La plataforma Netskope proporciona acceso optimizado y seguridad de confianza cero para personas, dispositivos y datos dondequiera que vayan. Ayudar a los clientes a reducir el riesgo, acelerar el rendimiento y obtener una visibilidad inigualable de cualquier actividad de aplicaciones privadas, web o en la nube. Para obtener más información sobre cómo Netskope ayuda a los clientes a estar preparados para cualquier cosa en su atrevido viaje, visite NETSKOPE.com.
Orador 2: Gracias por escuchar a Security Visionaries. Tómate un momento para calificar y reseñar el programa y compartirlo con alguien que conozcas y que pueda disfrutarlo. Estén atentos a los episodios que se publican cada dos semanas y nos vemos en la próxima.