[00:00:00] Erick Rudiak: Creo que lo que me encantaría que la gente pensara sobre esta serie es el espíritu de camaradería y el espíritu de comunidad que siempre ha existido y la seguridad de la información. Y creo que una de las cosas realmente geniales de esta serie es que crea una versión digerible concentrada de esas experiencias mágicas realmente enriquecedoras, donde las personas apasionadas por su tema. Solo para reunirnos y hablar. Y no se trata tanto de acertar en las predicciones como de tener la conversación.
[00:00:34] Productor: Hola y bienvenidos a los visionarios de la seguridad presentados por Jason Clark, director de seguridad y director de estrategia de Netskope. Acaba de escuchar a nuestro primer invitado, Erick Rudiak, vicepresidente sénior y director de tecnología de Northwestern mutual. redes y seguridad en la nube para comenzar. Está a punto de escuchar la primera mitad de una discusión en dos partes sobre los principios de la transferencia de valores. Esta discusión y el podcast de los visionarios de la seguridad son parte de un libro de jugadas de transformación de la seguridad, un conjunto de nuevos recursos de Netskope y algunos de los líderes más progresistas de la industria que examinan los problemas más importantes de la seguridad hoy en día, antes de sumergirnos, aquí hay un resumen. De nuestro patrocinador,
[00:01:24] Patrocinador: El podcast de los visionarios de la seguridad está impulsado por el equipo de Netskope. Netskope es el líder de SASE. Ofreciendo todo lo que necesita para proporcionar una experiencia de usuario inteligente en la nube y centrada en datos rápidos a la velocidad de los negocios de hoy. Obtenga más información en Netskope.
[00:01:42] Productor: Sin más preámbulos, entremos en el episodio uno de los visionarios de la seguridad con su presentador Jason Clark.
[00:01:49] Jason Clark: Bienvenido a Security Visionaries. Soy su anfitrión, Jason Clark, CSO de Netskope hoy. Me acompaña mi invitado muy especial, Erick Rudiak air. ¿Bien, cómo estás?
[00:01:57] Erick Rudiak: Estoy genial. Es bueno verte otra vez. Es bueno escucharte de nuevo, hablar de seguridad. Me encanta. Muchas gracias por la oportunidad.
[00:02:06] Jason Clark: Sí, lo que hemos estado, um, hemos estado hablando de esto durante bastante tiempo, en lo que nos adentraremos. Bien. Y entonces es bueno, uh, es, es bueno ver que todo esto llega a buen término. Entonces hablaremos de eso con, eh, con los oyentes, pero ellos comienzan. ¿Qué, um, recuerdas cómo nos conocimos?
[00:02:21] Erick Rudiak: Creo que conocimos por primera vez la forma en que te presentan a la mayoría de las OSC, que es cuando se mudan a una nueva ciudad. Consiguen un nuevo trabajo de CSO y Jason Clark lo llama y le dice, bienvenido a St. Louis. Um, vamos a cenar. Como vamos a hablar de trabajo y no, lo recuerdo claramente. Creo que literalmente fuiste la primera persona que no me entrevistó para Express Scripts. Para darme la bienvenida a la ciudad. Uh, y luego, siempre estaré agradecido por eso. Y fuiste muy acogedor,
[00:02:50] Jason Clark: Creo que compramos sushi. Era sushi, ¿no?
[00:02:52] Erick Rudiak: Probablemente ofreciste bistec y yo redirigí, respondí con sushi. Um, y que puedo, eso comenzó una larga tradición de desacuerdo entre tú y yo.
[00:03:03] Jason Clark: acordar estar en desacuerdo en muchos temas. Um, y eso fue probablemente, ¿en qué año fue eso?
[00:03:09] Erick Rudiak: Habría sido a principios de 2011 que nos conocimos.
[00:03:11] Jason Clark: Guau. Eso es una locura.
[00:03:14] Entonces cuéntame, ya sabes, cuéntanos un poco sobre tu viaje, ¿verdad? ¿Qué te llevó al rol de CTO en el que estás ahora y solo, ya sabes, un poco sobre eso?
[00:03:24] Erick Rudiak: Quiero decir, cuando pienso en mis, eh, ciertamente mis caminos hacia el riesgo de la información, tuve varias veces en mi carrera en las que tuve la suerte de estar en el lugar correcto en el lugar correcto. tiempo y hacer los amigos adecuados. Y así, mi viaje hacia el riesgo de la información comenzó en el verano de 1997. Estaba trabajando en Hewitt Associates, eh, y habíamos decidido que nuestra competencia no nos iba a superar para poner el autoservicio 401k en Internet. Y este fue el momento en que estábamos construyendo tecnologías de Internet desde cero. Entonces, ya sabes, el middleware de Java todavía era una tecnología incipiente y emergente. Ah, lo recuerdo. Hacer pruebas de rendimiento y darnos cuenta el día del lanzamiento que necesitábamos, aceleradores SSL y, eh, tener tecnologías de arcoíris que nos enviaran un par de como dos cajas criptográficas altas que generaron números aleatorios muy rápido. Porque ya sabes, solo estábamos pidiendo P y P prime y Q y Q prime sin parar en el lanzamiento. Pero al final de ese proyecto Amazing, que lanzó una serie de carreras, incluido el actual CIO de CVS, era parte de ese equipo de proyecto. Y el CTO de Hewitt se me acercó y me dijo, mira, eh, como si esto fuera un punto de inflexión hasta que, eh, ese verano de 1997, Internet se consideraba inseguro a cualquier velocidad, especialmente para una empresa como Hewitt, que protege a millones de información de identificación personal de las personas. Y pasó de inseguro a cualquier velocidad a. No estar conectado a internet. Y así me trajeron a una posición fuera de ese equipo de desarrollo que creó una aplicación de Internet y me dediqué a la seguridad de Internet a tiempo completo. Así que progresé en mi carrera en Hewitt y finalmente me convertí en director de seguridad de la información. Y luego los scripts express llegaron en 2011. Construimos scripts express en una compañía Fortune 25. Fue realmente emocionante y fue genial que estuviéramos en la línea de la misión, como los scripts expresos manejan la tercera parte. Medicamentos recetados de las naciones, tráfico, eh, electrónicamente, eh, los detalles en torno a las recetas, eh, los, ya sabes, los pagos, los, los costos, los reembolsos, y éramos una empresa que ganaba dinero cuando hacíamos que la atención médica fuera más segura y más asequible para nuestros clientes sin duda. Um, pero eventualmente todo el país debido a la forma en que lideramos. Y así, después de nueve años de guiones expresos, Cigna nos adquirió y tuve la oportunidad de pensar realmente. Lo que iba a hacer en mi carrera. Y entonces fue, eh, fue realmente emocionante, eh, tener una pausa, dar un paso atrás y pensar en mi carrera de una manera que no estaba comprometida por los proyectos actuales, la situación actual del equipo actual. Y busqué continuar con un riesgo de información de carrera, pero también busqué hacer algo radicalmente diferente donde mi experiencia en seguridad de la información haría. Un colaborador más completo e interesante en un papel diferente. Y así tuve, eh, tuve la buena fortuna de entrevistarme con Northwestern mutual y ser elegido como su director de tecnología. Y eso es lo que he estado haciendo durante los últimos dos años.
[00:06:36] Jason Clark: Entonces, Erick, sabes, me encanta hablar con personas como tú que eran CSO, y luego asumieron otro, otro rol. Bien. Um, ya sea un rol de CIO o un rol de CTO, o incluso, ya sabes, saltando al lado comercial, eh, ya sabes, un poco como obviamente, ya sabes, La locura. Se convirtió en oficial de marketing y estrategia de CISO. Bien. ¿Cuál no es el camino trillado común, pero qué haría diferente ahora que ha estado en el rol de CTO? Y si lo pusieran nuevamente en un rol de CSO, ¿qué, qué ha aprendido que lo haría hacer las cosas de manera diferente?
[00:07:12] Erick Rudiak: Ciertamente una de las cosas que, que tuve cuando estaba. CSO fue una gran relación con nuestro CTO. Siempre fue una sociedad. Siempre fue un equipo, un modelo de ensueño. Al mismo tiempo, como el nivel de empatía que tenía con nuestros desarrolladores, ha aumentado 10 veces en mi tiempo en Northwestern Mutual y realmente tuve la oportunidad de vivir el día en la vida de nuestro desarrollador todos los días, en lugar de periódicamente cuando tengo la oportunidad de trabajar con nuestros equipos de ingeniería de software. Y así, en cierto modo, comprendiendo de una forma mucho más profunda y personal. Cuáles son los desafíos para nuestros equipos de desarrollo, entender de una manera mucho más directa, cómo nuestros equipos de desarrollo operan de manera ágil, las herramientas que están disponibles para ellos, el, ya sabes, el. Las canalizaciones de CD de CI que utilizan, los cronogramas de entrega y las demandas que se les imponen. Y también la oportunidad de trabajar con una OSC diferente con diferentes puntos de vista ha sido un regalo para mí, la oportunidad de trabajar con Laura Diener, quien se unió a Northwestern Mutual y aprender de ella. Y observar la forma en que ella piensa sobre el riesgo. Um, ella es una de mis personas favoritas para hablar porque compartimos esta herencia y, sin embargo, esa diversidad de pensamiento y los diferentes enfoques que Laura y yo hemos usado, um, han enriquecido absolutamente mi punto. Entonces, si alguna vez tuve la oportunidad de ser un CIS, nuevamente, tomo las cosas que aprendí al construir relaciones, con ingenieros de software, con probadores, con nuestros equipos de control de calidad, con nuestros entrenadores ágiles, además de ver cómo otra OSC opera día tras día y persigue y reduce los tipos de riesgos que yo solía perseguir y reducir, um, así me ha enriquecido todo. Impresionante.
[00:09:06] Jason Clark: Suena como. Parece que necesito conocerla bien. También. Me encanta, eh, me encanta hablar y trabajar con OSC brillantes que tienen puntos de vista diferentes. Y así es como, obviamente, al final, eso es todo, lo asombroso de esta industria es que todos aprendemos unos de otros. Bien. Y tenemos un enemigo común y, eh, entonces, ya sabes, estamos al final, ¿verdad? Solo estamos aquí para ayudarnos unos a otros. Así que cuando hablamos de eso, correcto, y es una gran parte de la conversación de hoy, tú y yo nos unimos en un proyecto, que llamamos seguridad 2025, hace 2 años. Y ahora estamos donde, ya sabes, hay un, está, está impregnado en este podcast, al que llamamos Security Visionaries, y luego un libro llamado Security Transformation Playbook. Y, ya sabes, nuevamente, dos años de preparación, creo que de 30 a 50 cenas de mesa redonda en todo el mundo y muchas cenas de bistec y sushi, Erick, ya sabes, y tratando de entrevistar a personas y encuestas y simplemente, solo mucho pensamiento, ¿verdad? Lo que te emocionó incluso para involucrarte.
[00:10:04] Erick Rudiak: En primer lugar, fue la oportunidad de dar a la comunidad que me había dado tanto a lo largo de los años. Sentí que después de haber pasado, ya sabes, más de una década como CISO, lo mínimo que podía hacer era escribir algunas cosas y participar en un proyecto. En última instancia, en su forma más pura, se trataba de mejorar la industria. Y entonces, la oportunidad de devolver la oportunidad de, ya sabes, pasar un tiempo dedicado sin adulterar pensando en la seguridad de la información y pensando en cómo nuestra industria podría mejorar y ser parte de esa transformación actuando al servicio de esta fraternidad y La hermandad de CISO de la que formamos parte fue, con mucho, el mayor atractivo. Sabes, también vi que era un proyecto que iba a tener éxito. Como vi en ti, Jason, y en los materiales que, ya sabes, que comenzaste a mostrarme allí en la primavera de 2019, que esto iba a ser, ya sabes, una parte del libro de jugadas de cada CISO, un parte de su estantería, sería una especie de lectura obligatoria que tuviéramos la oportunidad de capturar las historias del pasado y las lecciones aprendidas y convertirlas en una visión para el futuro. Y lo que pasa con pasar tiempo con otros CISO es que estamos constantemente aprendiendo unos de otros. Y si tenemos suerte llegamos a ser parte de una comunidad. Entonces, si tenemos suerte, podemos ser parte de canales flojos y listas de correo y visitas aéreas, y lo que recuerdo en lo que valoré sobre esas interacciones fue la oportunidad de descargar mucha información todo en una vez cuando me reunía con organizaciones de la sociedad civil, ya fueran cenas que usted patrocinaba u otras comunidades de las que formaba parte. Y poder contribuir a eso, en, ya sabes, en mayor volumen fue extremadamente atractivo. Um, entonces, sí, estaba muy emocionado de inscribirme en el proyecto.
[00:12:04] Jason Clark: Entonces, eh, comenzamos. Bien. Las cosas que te dije son como, esta es la seguridad invertida, el mundo al revés, correcto. O es la seguridad, al revés, está al revés. Porque nuestros datos ya no están en una CPU que poseemos. Y nuestras aplicaciones y nuestros usuarios ya no están en una red que poseemos y controlamos. Bien. Y eso cambió por completo el juego. Um, y en, en muchos sentidos da ventaja, cierto. Para un malo y una desventaja de seguridad a menos que le demos la vuelta. Aparte de eso, ¿qué más agregaría a nuestro tipo de propósito original?
[00:12:36] Erick Rudiak: Cuando pienso en cuando pienso en eso, pienso en esa inversión como algo que no era obvio que tuvimos la oportunidad de traer el arco y, tú saber, y realmente puso el papel de la OSC en un contexto diferente al que había tenido antes. Y así como lo que usted describe como el tipo de inversión en el lado del silicio de las cosas, también estaba ocurriendo una inversión. Um, ya sabes, en las formas de vida basadas en el carbono, los humanos que están haciendo el trabajo. Y así, esta otra inversión del CISO va desde, en, en muchas empresas, ser la conciencia de la empresa, ser la única persona que se pone de pie y, ya sabes, pelear la buena batalla y defender la seguridad de la información para protección de datos, para defensa cibernética, um, también hay una inversión del rol de los CISO de ser esa conciencia de la empresa a. Ser parte del C-suite para ser incluido en la sala donde sucede y ese rol, esa persona del CISO tuvo que cambiar. Entonces, esta oportunidad de pensar realmente en, ya sabes, la inversión del rol de los CISO de la conciencia del negocio al defensor del negocio, que resultó estar bien inmerso en el arte de la ciberdefensa, hizo que ese rol fuera único. Y esa transformación fue algo que, ya sabes, vi como absolutamente vital no solo para mi carrera, um, sino también para los CISO con los que todos hablamos en la comunidad de St. Louis, y que tuvimos la oportunidad de hablar contigo a través de nuestras otras comunidades. Esa era una de las cosas que eran comunes sobre esos CISO y la oportunidad de capturar eso y unir esa inversión basada en silicio y la inversión basada en carbono que estaba sucediendo, um, fue súper emocionante.
[00:14:24] Jason Clark: Sí. Creo que es una gran manera de decirlo. Y luego, ya sabes, Erick, cuando empezamos bien, pensamos, está bien, vamos a pintar este futuro. Le daremos a la gente este libro de jugadas y les daremos algunos consejos. ¿Bien? Consejos, entrenamiento, como todo el propósito de un libro de jugadas, correcto. Es decirles con qué, con qué obstáculos se van a encontrar y darles algunas estrategias al respecto. Pero diría que todo, incluso para nosotros, se aceleró. Las cosas que pensábamos que iban a suceder para 2025 comenzaron a suceder mucho antes. ¿Bien?
[00:14:52] Erick Rudiak: Sí. Pienso en, eh, en el verano de 2019, tipo de escritura sobre, había un capítulo en el libro en el que estábamos escribiendo sobre las formas muy diferentes en que tenemos que otorgar acceso a los datos en la nube. Y como tú y yo tuvimos la oportunidad mucho antes de colaborar en un proyecto de prevención de pérdida de datos que creo que fue bastante exitoso, eh, en. Creo que ambos vimos que la prevención de pérdida de datos tradicional no iba a funcionar cuando la mayoría de los datos se habían movido fuera de un centro de datos que, ya sabes, ese diseño de tráfico de red de trombón y horquilla que forzó todo a través de una pequeña cantidad de electrodomésticos es, eh, era simplemente imposible de escalar cuando ocurre esa inversión. Y así, recuerdo identificar lugares donde, para los fines del libro, podíamos tomar capturas de pantalla e ilustrar esta idea de que cambiar una ACL en un archivo en un servicio en la nube era tanto el primer paso para una posible violación de datos en curso como algo que la seguridad de la información tradicional electrodomésticos que no vamos a atrapar. Como si fuera un caso para cambiar la forma en que la industria pensaba. Protección de la información. Y luego hubo una brecha, literalmente, mientras escribíamos esos capítulos que seguían exactamente el mismo, eh, que seguían exactamente el mismo guión. Entonces, eh, fue, eh, fue una lección de humildad y un recordatorio de que, eh, necesitábamos terminar el proyecto antes de que todas las grandes ideas sobre el futuro simplemente se convirtieran en pontificantes sobre el presente.
[00:16:25] Jason Clark: Quiero decir, incluso en, y eso es, ya sabes, parte de lo que hace que los equipos tengan que crear algunos pivotes. Bien. Fue como, bueno, bueno, todo esto está sucediendo ahora. Ya sabes, ajuste abordó nuestra estrategia para el lanzamiento de este. Bien. Y, eh, simplemente habla de eso de una manera un poco diferente e incluso proporciona algunas cosas más relevantes como la pandemia. Bien. Hable sobre el impacto del trabajo remoto, ¿verdad? Y al final, ya sabes, SaaS y, ya sabes, tienes un capítulo sobre API API, eh, y creo que incluso se relaciona con, ya sabes, el capítulo sobre talento, ¿verdad? Y el rol cambiante del CISO, hablando de ese rol cambiante del CISO. Así que acabo de hacer un. Que yo, en uno que hice hace un par de años, donde estoy, estoy preguntando sobre ciertas partes del presupuesto, um, seguridad de la red, parte del presupuesto, y la mayoría de los equipos de red son dueños de la red. seguridad parte del presupuesto. En general, el 75% todavía era propiedad del equipo de redes, um, firewalls, etcétera. Y rehice esa encuesta a los líderes de red, directores y superiores, y líderes de seguridad y 93%. Dijo que ambos equipos, la red y la seguridad, convergerán en los próximos años y se convertirán en un solo equipo porque la red ahora se ha convertido en Internet. Bien. Um, eso es significativo. No sé si sabes lo que piensas sobre eso o lo que estás viendo en ese espacio, pero ese tipo de aspectos destacados es que esto no habría sucedido. Cuando comenzamos a escribir este libro, la gente no diría, no habría dicho que se están juntando.
[00:17:55] Erick Rudiak: Claro. Y creo que una de las cosas poderosas de tener un libro como ese y tener un libro de jugadas es que hay ciertas evoluciones naturales que tienen. En seguridad de la información. Y pienso en otro sobre el que escribimos, y que, ya sabes, que experimenté personalmente fue la forma en que las empresas construyen centros de operaciones de seguridad. Y existe una especie de progresión natural desde una especie de nivel cero de madurez donde todo es inexistente o ad hoc, pero con el tiempo, a medida que creces, ya sabes, esa madurez CMI, las empresas comenzarán a formar equipos y luego comenzarán a darse cuenta, oh Dios mío, esto es realmente grande. Y saldrán y obtendrán un servicio y luego comenzarán a administrar el servicio. Y luego comenzarán a formar equipos expertos en ciertas partes del riesgo de la información que están tan cerca del núcleo que tienen que ser buenos en eso. Y finalmente logran un equilibrio y ese equilibrio no es necesariamente el mismo en todas las empresas, pero ya sabes, esta idea de ascender en la escala de madurez y, a medida que avanzas en la escala de madurez, diferentes soluciones tienen sentido. como construir versus comprar se convierte en una ecuación diferente. Insource versus outsource se convierte en una ecuación diferente. Y como una de las cosas que es interesante reflexionar sobre lo útil que es tener un plan. Y te guía a través de, oh, esto es lo que parece cuando tomas ese próximo punto de inflexión en la madurez. Um, está bien estar en el nivel cero o en el nivel uno, si solo estás avanzando constantemente, si estás mejorando constantemente y tener ese libro de jugadas te ayuda a anticipar el futuro. Y eso es como, esa es una parte realmente genial del libro, creo. [00:19:36] Jason Clark: Sí. Quiero decir, hablando de eso, como en tu mente, quién eres, quién imaginas que las personas principales son personas. Que están leyendo este libro.
[00:19:46] Erick Rudiak: Lo ideal es que sean todos, ¿no? Es el, ya sabes, éxito de verano que todo el mundo tiene en su biblioteca. Um, pero no, creo que si eres, ya sabes, si eres un CISO o un CISO adjunto o alguien que aspira a llevar su carrera en esa dirección, creo que es, ya sabes, creo que hay un montón de material valioso allí. Creo que una de las cosas que me gustó de este proyecto es sin embargo. Tomamos una posición deliberada e hicimos un esfuerzo deliberado para hacer que el libro no solo trate sobre información de observación naval, gente de seguridad. Hay un montón de cosas buenas para los geeks de InfoSec como usted y yo en el libro. Pero si es un CFO, si es un CIO, si es un CTO y quiere hacerlo. Simplemente sumérjase en el libro durante uno o dos capítulos y entienda un poco lo que está pasando en la cabeza de ese CISO, que ahora es su socio al otro lado de la mesa. Quién es parte de ese equipo, un enfoque de ensueño para ejecutar la tecnología de su empresa. Creo que va a haber mucho en el libro que es atractivo. Para esas otras audiencias que no son de seguridad de la información como un anillo decodificador como, ya sabes, eh, como un poco de información sobre, oh, esto es lo que piensan los CISO. Esta es la historia de su industria y por qué, ya sabes, por qué han adquirido algunos de los hábitos y algunas de las creencias que tienen, y se hace en un formato realmente accesible y digerible. Um, entonces, sí, creo que todos deberían leerlo.
[00:21:17] Jason Clark: Sí, es divertido, acabo de publicar un libro de Dummies y es SASE Architecture for Dummies, y fue muy difícil, ya sabes, ese proceso de crear un libro de Dummies. porque lo estás, lo estás, lo estás embruteciendo. Bien. Y dices, oh, pero quiero decir mucho más, pero increíble, como dices, para todos, um, literalmente lo publicamos hace unos meses y ya tiene 3000 descargas. Bien. Um, eso es genial. Si pienso en lo que más ha cambiado en seguridad cuando hablamos de esta pandemia, ya sabes, ese cambio de datos ya no está en una CPU que posees o controlas. Bien. Ahí es donde eso, creo que ambos entran.
[00:22:03] Erick Rudiak: Yo solía ser ese tipo, como si me levantara en las salas de juntas o en los ayuntamientos y dijera nuestro trabajo en nuestro Silicon, así es como íbamos a mantenernos a salvo. Um, y esa era terminó así, eso es, eso es cosa del pasado. Como, no creo que, eh, ya sabes, si volviera a ser un CSO, podría hacer la misma afirmación. Nuestro trabajo en nuestras computadoras maniataría a cualquier compañía en la que yo iba a estar. Como si nos pusiera en una desventaja competitiva.
[00:22:32] Jason Clark: Sí. Lo que también me trajo a St. Louis, Right Erick, fue el puesto de CISO en Emerson Electric y, ya sabes, llegué allí y, ya sabes, había 2000 ubicaciones diferentes y 140 000 empleados y 80 divisiones. Y el primer proyecto que inicié, un proyecto global, se llamó comando y control. Bien. Era una terminología muy militar, pero era, vamos a, vamos a tomar el mando y control de cada red de cada dispositivo, de cada aplicación que tengamos.
[00:23:02] Erick Rudiak: Correcto. Eso se ha ido. Sí. Y sabes, y solía darme palmaditas en la espalda, estaba muy orgulloso de que nuestro trabajo en nuestro Silicon incluyera BYOD. Como si tuviéramos esta visión de que nuestro trabajo en nuestro silicio era compatible con BYO D porque teníamos tecnología. Teníamos, eh, teníamos puertas de enlace, teníamos seguridad adicional que permitía nuestro trabajo en nosotros mismos. Adoptar BYOD, pero eso también fue en un momento antes de que ocurriera esta inversión del perímetro de la red, donde nuestro trabajo en nuestro silicio tenía sentido. Ya no.
[00:23:38] Jason Clark: Entonces, si tuviéramos que, ya sabes, mudarnos, avanzar a otro lugar, de cinco a 10 años. ¿Bien? ¿En qué cree que desearán las OSC haber invertido en este momento? Si pudieran retroceder en el tiempo, cuando miras en tu bola de cristal, el futuro.
[00:23:53] Erick Rudiak: Ah. Me refiero a la, eh, mira, la respuesta fácil es la gente. Las personas adecuadas pueden superar todo tipo de otros obstáculos y deficiencias, ya sea tecnología, presupuesto o tiempo, siempre invertiría primero en nuestra gente. Sabes, la segunda cosa que miraría es la orquestación. Como cuando pienso en, y hay un capítulo en el libro donde hablamos de, eh, una especie de, eh, esta idea del pasado, es genial. Porque hay un RFC sobre esto que citamos y es un RFC, como de las convenciones de nomenclatura de servidores de principios de los ochenta, ¿verdad? Por ejemplo, ¿vas a nombrar tus servidores después de Muppets o personajes o planetas de Star Wars? Um, ya sabes, cuando estaba en la Universidad de Northwestern, estaba apoyando al departamento de geología y tenían todos los servidores con nombres de héroes de la mitología griega. Um, y sin embargo, como si hubiera una transición que sucedió. Y entonces, lo interesante de pasar de tener una relación personal, como el nombre de pila, con sus computadoras, a sus computadoras, siendo como ladrillos Lego con un suministro casi infinito con intercambiabilidad e interconectividad casi infinitas. Como una de las cosas, las primeras cosas que me asustaron sobre esa inversión cuando era un CISO fue, Dios mío, ¿qué sucede con el análisis forense digital y la respuesta a incidentes? Por ejemplo, ¿cómo mi personal de respuesta a incidentes me da información detallada en un servidor que tenía una vida útil diseñada de cinco horas o cinco minutos? Y fue una locura, ya sabes, solo pensar en, oh, como esto va a requerir. No solo en la nueva tecnología, no solo en los nuevos, ya sabes, no solo en los nuevos procesos, sino que iba a requerir personas que pudieran pensar de esta manera completamente nueva. Entonces, cuando pienso en eso y cuando pienso en qué, eh, en qué comenzaría a invertir hoy como CISO. Así que pensaría en el tipo de orquestación impulsada por máquinas que es. Cuando todo es un ladrillo Lego y cuando hay miles y miles y miles de ladrillos Lego y no son solo servidores, sino microservicios, son, ya sabes, son contenedores Docker, um, como hacer un seguimiento de todo eso y hacerlo de una manera que admita la reproducción de incidentes, que apoye las investigaciones, que me permita tener, ya sabes, tener la base de datos al alcance de mi mano en el momento más importante, que soy yo. Me trajeron a la sala de juntas y el CEO, un miembro de la junta, el CIO, el CFO dijo: Hola, CISO, cuénteme qué sucedió. Um, en 10 años, cuando, ya sabes, cuando todo sea un microservicio de corta duración o cuando suficientes cosas sean microservicios de corta duración, porque Kubernetes hizo girar algo y giró algo basado en, ya sabes, un tráfico completamente dinámico. Eso requiere una forma completamente diferente de pensar sobre cómo trabaja nuestra gente y cómo nuestra tecnología de infraestructura organiza e informa nuestra tecnología de seguridad. Y así, esa inversión en la orquestación, creo, eh, ya sabes, los CISO serían extraordinariamente sabios al ver eso y esa orquestación debe suceder en todas partes. Tiene que suceder en un centro de datos si todavía tiene uno. Y ciertamente tiene que suceder absolutamente en la nube.
[00:27:22] Jason Clark: Sabes, hablamos de que incluso un principio central es la automatización de la orquestación, ¿verdad? Que cada tecnología que compras, creo que nosotros, el principio es dejar de comprar soluciones de caja negra que todo debe ser abierto e integrado. Bien.
[00:27:37] Erick Rudiak: Así es. Sí. Sí. Hablamos de si su producto de seguridad no tiene una API, pero usted lo sabía. No lo compre. Sí. Por ejemplo, tenga mucho cuidado porque si no tiene una API, es probable que haya algún otro producto de seguridad que necesite poder ver dentro y fuera de su estado y será ciego en esa ceguera, eh, se convierte en una desventaja cuando nosotros re defender los sistemas y defender los datos.
[00:28:00] Jason Clark: Sabes, dijiste algo que despertó un pensamiento, hablaste sobre cómo usamos los servidores de nombres y, y, ya sabes, había un apego personal que teníamos, ¿verdad? Como construirías un, construirías un sistema y te representaría a ti y. Trabajaría a medianoche para asegurarme de que esa representación de mí fuera sólida y, ya sabes, nunca, nunca tuve problemas. Nunca bajamos. Y, y, y luego, cada vez que tenía que retirar ese sistema, que había pasado, ya sabe, cientos de horas invirtiendo en un edificio, era un poco deprimente ver que algo que había construido tenía que desaparecer. Bien. Um, eso no es realmente para las aplicaciones que existen, pero eso ya no existe para la infraestructura.
[00:28:41] Erick Rudiak: Sí. Bienvenido al futuro.
[00:28:41] Jason Clark: Sí. Entonces, ya sabes, pensando en esto, ¿verdad? Y nos reuniremos y, eh, otro episodio con, eh, con un colega o dos, y hablaremos sobre todos los principios básicos, ¿verdad? Los principios que necesitas apegarte a eso, ya sabes, si no haces nada. Siga estos principios, ¿verdad? Y el principio uno, por cierto, es desafiar a todos sus directores, ¿verdad? Desafía a tus directores existentes. Así que será un divertido episodio de seguimiento, Erick, que espero con ansias, pero cualquier comentario final sobre nuestro proyecto que hemos hecho aquí durante los últimos dos años para el.
[00:29:24] Erick Rudiak: Creo que lo que me encantaría que la gente, ya sabes, pensara en esta serie, eh, y que la gente volviera a esta serie y escuchara es el espíritu de camaradería y la espíritu de comunidad que siempre ha existido y seguridad de la información. Y eso creo que hasta ahora ha sido un poco difícil de capturar. Pero, eh, pienso en todas las cosas que aprendí de otras OSC en la cena. En las sesiones Birds of a Feather, eh, como en los pasillos de las conferencias. Y creo que una de las cosas realmente geniales de esta serie es que crea una versión digerible concentrada de esas experiencias mágicas realmente enriquecedoras, donde las personas apasionadas por su tema, simplemente se reúnen y hablan. Y no se trata tanto de acertar en las predicciones como de tener la conversación. Y estoy encantado de poder tener una conversación contigo, Jason.
[00:30:18] Jason Clark: Creo que es una respuesta brillante, brillante. es mágico Y, ya sabes, hay, hay todo, ya sabes, tal como dijiste al principio, es una diversidad de pensamiento, hay cientos de personas de CSO y CIO en las que estamos involucrados en la realización de esta investigación, bien. Y de la serie y del libro. Entonces, ya sabes, todos ellos nos han ayudado y hemos aprendido mucho a través de eso. Bien. Y así es como empezó todo esto, donde necesitábamos usar. Juntos y de verdad ayudarnos unos a otros a transformar nosotros mismos nuestras organizaciones, ¿verdad? Nuestra gente. Y en nuestra, lo más importante, la pila de tecnología, eso nos dará nuestro punto de influencia nuevamente, porque la seguridad realmente ha perdido influencia, ¿verdad? Hay, el 90% de su gasto fue en el centro de datos y en la red, ya que esos datos y los usuarios no están en la red, se estiran como una banda elástica. Bien. Y para que, um, no hay duda de que todos obtendrán excelentes tácticas, estrategias y consejos para su programa. Bien. Um, y la parte genial del libro y la serie. No es como si tuvieras que leer esto de la A a la Z. Delante de la parte de atrás es puramente tú, puedes sumergirte en cualquier sección que quieras porque estás lidiando con esa situación. Bien. O eso es algo que te interesa en ese momento. Y así es como lo diseñamos a propósito para que puedas sumergirte justo en el medio si lo deseas. Bien. Y entonces, eh, espero que principalmente nosotros, cuando todos obtengan algo de eso y nosotros juntos como comunidad, correcto. Hacer, uh, hacer del mundo un lugar más seguro. Y. Ayude a ayudar a los programas profesionales de seguridad a tener éxito.
[00:31:56] Erick Rudiak: Amén. Eso suena fantástico.
[00:31:56] Jason Clark: Así que no es tan mágico como lo que dijo Erick, pero eso estuvo bien. Um, donde Erick siempre ha sido durante los últimos 10 años, un buen, un buen amigo y socio en esta investigación y, uh, ya sabes, muchas gracias por, por tomarse el tiempo aquí y lo haremos. nos vemos en el próximo episodio.
[00:32:16] Erick Rudiak: Es mutuo. Amigo mío, espero estar aquí. Gracias por la oportunidad.
Patrocinador: El podcast Security Visionaries está impulsado por el equipo de Netskope que busca la plataforma de seguridad en la nube adecuada para permitir su viaje de transformación digital. La nube de seguridad de Netskope le ayuda a conectar a los usuarios de forma segura y rápida directamente a Internet desde cualquier dispositivo a cualquier aplicación. Obtenga más información en Netskope.
[00:32:43] Productor: Gracias por escuchar a Security Visionaries. Tómese un momento para calificar y reseñar el programa y compartirlo con alguien que pueda disfrutarlo. Estén atentos a la segunda parte, en la que Jason y Erick se unirán a sus colegas para una mesa redonda en la que se desglosará cada uno de los 10 principios y cómo aplicarlos para impulsar la transformación en su organización. La segunda parte ya está disponible.