Tus labios dicen "no", pero no estoy escuchando

Hay una larga historia de profesionales de la seguridad quejándose de la inseguridad de las nuevas tecnologías. Cuando las nuevas tecnologías despegan, rara vez tienen gran seguridad incorporada. La población nunca viene y dice: "La seguridad es correcta. Deberíamos dejar de usar esto que amamos". La tecnología popular SIEMPRE gana.

El episodio de esta semana está presentado por mí, David Spark (@dspark), productor de CISO Series y Andy Ellis (@csoandy), socio operativo de YL Ventures. Nuestro invitado es Rinki Sethi (@rinkisethi), vicepresidente y CISO, BILL.

¿Tienes comentarios? Únase a la conversación en LinkedIn.

[Narración]Lo que odio de la seguridad cibernética, ¡vamos!

[Rinki Sethi] Lo que odio de la seguridad cibernética es que la diversidad de género en el campo no representa la diversidad de género en el mundo. Y la razón por la que es frustrante es porque tenemos algunos de los desafíos más difíciles que debemos resolver, y necesitamos diferentes formas de abordar y resolver los desafíos de seguridad cibernética. Y la única forma en que lo haremos es si tener ese tipo de diversidad.

[Narración]Es hora de comenzar el podcast de la serie CISO.

[David Chispa] Bienvenido al podcast de la serie CISO. Mi nombre es David Chispa. Soy el productor de la Serie CISO. Y uniéndose a mí como mi coanfitrión, lo han escuchado antes, es Andy Ellis. Es el socio operativo de YL Ventures. Andy, saluda a la agradable audiencia.

[Andy Ellis]Hola a la buena audiencia.

[David Chispa] Estamos disponibles en cisoseries.com donde puedes ver toda nuestra otra programación. Tenemos toneladas de zapatos. Lanzamos de ocho a diez episodios a la semana dependiendo de lo que esté en temporada, lo que esté sucediendo esa semana. Pero pasan muchas cosas. Nuestro patrocinador para el episodio de hoy es OffSec, elevando la fuerza laboral cibernética y el desarrollo profesional. Sí, en realidad tienen esta increíble plataforma educativa para hacer crecer a sus propios profesionales de seguridad. Vas a querer escuchar lo que tenemos que decir un poco más adelante en el programa. Estén atentos para eso. Pero primero, Andy, estamos a solo unas pocas semanas cuando estamos grabando esto de ir a RSA. Quiero saber... Usted ha dado algunos buenos consejos. ¿Qué es lo más importante que para usted significa "Yo personalmente saqué bien RSA". ¿Qué es para ti?

[Andy Ellis] Esa es realmente difícil. Y creo que en realidad no lo sabré hasta que llegue a casa. Porque en realidad son dos cosas. Una es si todavía estoy saludable. Y hay muchas formas diferentes de por qué lo haces.

[David Chispa]Me contagié de COVID el año pasado en RSA.

[Andy Ellis] Está bien, definitivamente esa no es la manera de hacerlo. Pero hay veces que me quemo. Me corro irregular. Y luego, realmente para mí, es cuántos seguimientos tengo que espero con ansias. Hay muchas cosas de las que haces seguimiento y dices: "Oh, tengo que enviarle a esta persona una Amelia solo porque dije que lo haría, pero no estoy entusiasmado con eso". Pero es como, "Oh, conocí a esta persona realmente genial. Y puedo enviarles un correo electrónico, y ahora vamos a tener una conversación porque dijimos que haríamos eso". Eso es lo que realmente espero con ansias: poder evaluar y decir: "Tuve excelentes conversaciones mientras estaba en RSA, y espero con ansias el siguiente paso".

[David Chispa] Eso es muy bueno. Mi frustración con el seguimiento es el alto nivel de interés en RSA y lo bajo que se vuelve cuando uno deja RSA. [Risas]

[Andy Ellis] Absolutamente. Hay muchas personas que fingen estar emocionadas por seguirte, pero no es así.

[David Chispa] Sí. Bueno, para mí, me reuniré con muchos patrocinadores y patrocinadores potenciales, lo cual es genial. Y también reunirse con invitados y posibles invitados en el pozo. Entonces, eso es siempre... Solo la creación de redes es enorme para mí también. Tenemos una invitada, nos convertimos en invitadas campeonas. La tuvimos antes cuando era la CISO en Twitter. Y ahora la tenemos, ahora que ella es la CISO de BILL. No es otro que Rinki Sethi. Rinki, muchas gracias por acompañarnos nuevamente.

[Rinki Sethi]Gracias por invitarme.

3:21.887

[David Chispa] En una aparición reciente en la ciudad de Nueva York, la directora de CISA, Jen Easterly, dijo: "Los directores ejecutivos y los miembros de la junta deben adoptar la responsabilidad cibernética corporativa como una cuestión de buen gobierno, no como algo que preocupa a la gente de TI". Ahora, Andy, quiero cambiar las tornas aquí. ¿Qué hacen los miembros de la junta y los ejecutivos de C-suite para facilitar su trabajo de mitigación de riesgos? Andy, usted dijo que los CISO no pueden ser los únicos en educar porque los C-suite/la junta toman decisiones de riesgo basadas en conocimientos previos. Entonces... Y esta es la parte que estoy tratando de descubrir aquí. Si el C-suite está elevado para comprender el riesgo cibernético, ¿cómo operaron mejor?

[Andy Ellis] Creo que dejan de ser tácticos. Uno de los desafíos que veo en muchas empresas y hablo con muchos CISO es que están incorporando un nuevo miembro de la junta, y este es el miembro de la junta que entiende de cibernética. Inmediatamente se sumergen en el meollo de la cuestión. Son como, "Oh, ¿puedo ver sus controles alineados con el CSF? O hablemos de detalles específicos". Y realmente es algo así como divisas. De hecho, me gusta usar el riesgo cambiario como una forma de hablar sobre el riesgo cibernético. Todos los que trabajan en una empresa multinacional a nivel ejecutivo tienen un conocimiento básico de cómo el riesgo cambiario afecta su negocio. Van a depender del CFO para obtener avances como, "Oh, oye, tal vez estamos un poco sobreapalancado entre nuestros ingresos y nuestra subsidiaria de Gran Bretaña y el dólar estadounidense". Pero conocen los conceptos básicos y cómo encajan. Y eso es lo que necesitamos elevar. Por ejemplo, los CISO no necesitan decirle a su C-suite: "Oh, debemos preocuparnos por este nombre específico de un troyano". Pero si básicamente no entienden cómo funciona el ransomware... y diciendo cómo funciona, estoy hablando como una descripción de tres oraciones... Se sube a una máquina, se mueve lateralmente, roba todos nuestros datos. Boom, esa es su descripción. Para que cuando surja algo, tengan un marco claro en el que estén pensando: "¿Cómo afectaría esto a nuestro negocio?"

[David Chispa] Buen punto. Rinki, te lanzo esto. ¿Ha trabajado con los diversos grados de junta directiva/C-suites con conciencia cibernética versus no tanto? ¿Cómo ha visto que los dos grupos funcionan de manera diferente y cómo eso hace que su trabajo sea más fácil de una forma u otra?

[Rinki Sethi]Sí, creo que es interesante porque me siento en una junta como CISO, y también he informado a las juntas como CISO.

[David Chispa]Así que lo has visto desde ambos lados.

[Rinki Sethi] Sí, un par de perspectivas diferentes sobre eso. Primero, creo que cuando un CISO presenta su material, hay muchas métricas y muchos datos. Y muchas veces, los miembros de la junta solicitaron esos datos y dijeron: "Oh, hemos leído algunas cosas, y esto es lo que deberían presentar". Entonces, vaya y reúna eso. ¿Pero es eso lo que me mantiene despierto por la noche como CISO? Creo que esa es la conversación importante sobre si obtiene el apoyo que necesita del liderazgo. ¿Cuáles son los principales riesgos que lo mantienen despierto por la noche? ¿Existen las inversiones adecuadas en esas áreas? Ya sea en la sala de juntas o con los miembros de la junta uno a uno y tener esos diálogos para obtener el tipo de apoyo adecuado, creo que en realidad es lo más crítico.

[David Chispa] ¿Y el apoyo solo se traduce en dinero? Quiero decir, ¿qué es el soporte? ¿Puedes cavar un nivel más profundo?

[Rinki Sethi] No, no necesariamente dinero. Creo que es comprender los riesgos, comprender si no ha realizado las inversiones que hay un buen, "Está bien, esta es la decisión correcta para el negocio y hacia dónde vamos". O si es, "No creo que esta sea una brecha que debamos tomar, hagamos las inversiones correctas". Ya sea dinero o lo que sea. Y creo que eso es muy importante. También he visto a miembros de la junta ir y tomar clases sobre seguridad cibernética, y creo que algo de eso... He visto parte del material, y está un poco desactualizado. Creo que sería mejor que hablaran con un CISO en su lugar. La otra cosa que he visto hacer en las empresas que yo... Y esto es algo nuevo que he visto, y creo que en realidad es bastante bueno. Que están comenzando a crear juntas asesoras de CISO que asesoran a la junta. Y así obtienes una perspectiva diversa de los CISO que vienen y comparten su conocimiento. No solo lo está escuchando de un CISO que podría estar sentado en una junta. Por lo tanto, creo que hay formas interesantes de decir: "Mira, no somos conscientes como junta, por lo que debemos educarnos. Pero eso puede llevar tiempo. Así que hagamos que otras personas vengan a ayudarnos". Y estoy viendo más y más tableros hacer eso.

[David Chispa]Andy, quiero hacerte una de las mismas preguntas que le hice a Rinki: ¿qué significa para ti el apoyo de la junta?

[Andy Ellis] Por lo tanto, el apoyo significa... Creo que cuando la junta pregunta: "¿Tienes el apoyo adecuado", preguntan: "Cuando dices que algo es importante, ¿tus compañeros te escuchan?" Porque si cada iniciativa que necesita llevar a cabo requiere que el CEO la apruebe, entonces no tiene apoyo. El apoyo es que usted es parte del negocio. Y cuando dice: "Oye, tenemos que hacer esto", dentro de lo razonable y de la misma manera que si RR. todo lo que RRHH pide. Hacemos retroceder mucho de eso. Pero si no experimenta nada más que retroceso, no tiene apoyo.

8:39.144

[David Chispa] @myracoonhands en Twitter… No es su nombre real. Por cierto, también se conocen con el nombre de AKA Infosecsie. Preguntó si…

[Andy Ellis]Me gusta el tope glótico que pusiste ahí.

[David Chispa] Solo para ti. Si está en una posición de liderazgo, ¿cómo maneja el fracaso? Específicamente dentro de su personal. ¿Y qué piensas de la frase, "El fracaso no es una opción". Entonces, solo quiero citar tres de mis respuestas favoritas aquí. Sean Mollett dijo: "El fracaso no es cometer un error. El fracaso es no reconocer y corregir un error". @CyndyL44 dijo: "Trabajo en gestión de productos de software. Y si el fracaso no fuera una opción, nunca construiríamos nada. Creo que es una tontería motivacional de ventas obsoleta". Y Karsten Hahn de G DATA dijo: "El fracaso no se puede evitar y es una oportunidad para aprender y mejorar las cosas en el futuro. Debe usarse para mejorar los procesos en lugar de verlo como un fracaso personal. La mayoría de las veces no lo es". causado por una persona sino por el proceso”. Entonces, Rinki, voy a lanzarte esto, pero voy a agregar un poco de historia de fondo a la frase, "El fracaso no es una opción". En realidad es una frase atribuida al director de vuelo de la NASA, Gene Kranz, y la misión de alunizaje del Apolo 13. Pero nunca la dijo. Solo se dijo en la película de 1995, "Apollo 13". Entonces, voy a preguntarte, Rinki, ¿cómo manejas las fallas con tu personal? Y que opinas de esa frase, "El fracaso no es una opción". ¿Es una línea que has pronunciado tú mismo?

[Rinki Sethi] No creo que haya pronunciado esa línea yo mismo. ¿No es nuestro trabajo encontrar fallas en las cosas como personas de seguridad cibernética? Eso es lo que prosperamos. Entonces, cuando pienso en el fracaso, pienso en los errores. Y estoy de acuerdo con algunas de las citas que proporcionaste sobre... Creo que cometer errores es cómo aprendes, cómo creces, cómo innovas. Es cuando sigues cometiendo los mismos errores una y otra vez, o la intención es mala. Ahí es cuando creo que ya ni siquiera es un error. Estás hablando de algo totalmente diferente. Pero creo que vas a fracasar si vas a crecer. Y aprender de eso… Y eso es lo que define el éxito. Entonces, no creo que el fracaso no sea una opción. Eso no me convence.

[David Chispa]Andy, ¿cómo manejas los fracasos en tu equipo?

[Andy Ellis] Entonces, solo fui a buscar en mi libro... Lo siento, tengo que hacer referencia al libro. Y de mis 54 capítulos, 6 de ellos son sobre el fracaso.

[David Chispa]¿Fracasaste al escribirlos?

[Andy Ellis] [Risas] Fracasé al escribir algunos de los otros capítulos. Solía ​​haber 55 capítulos hasta que mi editor llegó al libro, y ahora solo hay 54.

[David Chispa][Risas] Espera, quiero saber, ¿cuál se cortó?

[Andy Ellis]El que tenía el título "No importa lo bueno que sea tu equipo de fútbol, ​​si los pones en una pista de hockey, están condenados al fracaso".

[David Chispa] Sí, me gusta eso. Esa es buena.

[Andy Ellis] Que en realidad me gustó, pero se superpuso con dos de los capítulos cercanos. De cualquier manera. En primer lugar, el fracaso es la forma en que las personas crecen. Como cada vez que quieres que alguien crezca, tienes que exponerlo al riesgo de fracasar. Ahora, debes hacerlo de forma controlada. Deberías hacerlo seguro. No deberías simplemente decir: "Oh, ¿entonces quieres prepararte para el siguiente nivel de trabajo? Bueno, déjame enviarte a hacer eso sin estar preparado". También se está preparando una pieza de fracaso para disculparse por el fracaso dentro de un entorno corporativo. Que es cuando fallas, lo posees. Simplemente dice: "Sí, fallamos. Esto es lo que hicimos mal. Esto es lo que yo, como líder, haré de manera diferente".

Y trabajas con tu equipo y dices: "Así es como te fallé, al no alcanzarte a tiempo". Pero también es muy importante fallar en los proyectos. Si no falla regularmente, no está haciendo suficientes apuestas. Todo lo que haces... Nada es seguro. Entonces, si todo lo que hace tiene éxito, significa que fue demasiado conservador con sus inversiones. Ya sea que se trate de una organización de productos o incluso de un proyecto de seguridad. La cantidad de proyectos que mi equipo comenzó pero nunca terminó porque los terminábamos por la mitad y veíamos que los vientos habían cambiado, esto ya no era necesario... Y estábamos dispuestos a reconocer el fracaso temprano y fallar rápido en lugar de permanecer comprometido porque el fracaso no era una opción.

[David Chispa] Rinki, ¿qué haces con tu equipo para, A, dejar que se esfuercen para posiblemente romper algunas cosas y permitirles aprender de eso? ¿Hay algo que hagas para llegar a ese punto?

[Rinki Sethi] Sí, creo que los empodera para cometer errores, tomar riesgos informados. ¿Bien? Así que no pude estar más de acuerdo con algunas de las cosas que dijo Andy. Pero cuando piensas en hacer equipo rojo con una empresa, vas a romper cosas. Y si el equipo tiene demasiado miedo de que pueda derribar algo... un servidor puede fallar... no vas a correr el riesgo de encontrar las cosas que necesitas encontrar. . Pero está bien. Si te equivocas, estaré allí. Estaré allí para defenderte, aprenderemos de eso y nos aseguraremos de no volver a hacerlo". Pero al mismo tiempo, así es como vamos a encontrar los problemas que necesitamos encontrar. Y así ha habido veces…

Y puedo contarles dos situaciones en el pasado que han sucedido, una, cuando ha sido un equipo rojo o eliminan algo y lo comparten. Y luego aprendemos de eso, y nosotros... O encontramos una brecha que necesitamos arreglar. Ha habido otro donde lo encubren. Y para mí, ese no es el tipo de comportamiento que quieres. Pero si asustas a la gente y creas un ambiente en el que no vas a permitir el fracaso, esa es una de las cosas que pueden pasar. Entonces, creo que solo empoderar a las personas, sabiendo que, "Oye, está bien cometer errores. Yo también he cometido errores. E incluso cuando cometo errores, todavía cometo errores. Y compartir que esa fue la decisión equivocada, o eso fue lo que no se pudo hacer. Vamos a pivotar". Entonces, creo que así es como demuestras... un modelo a seguir que los errores están bien.

[David Chispa] Ahora, Andy quiere hacer referencia a su libro una vez más. Adelante, Andy.

[Andy Ellis] Entonces, un presupuesto de disculpas es lo que le permite a su equipo tomar riesgos. Y así modificarlo ligeramente para que la gente lo escuche de manera diferente. Rinki dijo: "Si te equivocas, estaré allí para defenderte". En realidad es un poco diferente. Es, "Estaré allí para disculparme por ti". Es culpa mía como CISO que hayas hecho esto y hayamos dañado el negocio. Y tenemos que disculparnos por el negocio y, al mismo tiempo, defender que era un riesgo necesario. Pero estaré allí, sin apoyarte, pero estaré allí contigo y, con suerte, te reemplazaré cuando la gente diga: "Necesito gritarle a alguien". "Genial, estoy aquí. Grítame. Lo siento. Fue mi equipo el que hizo esto por instigación mía". Ahora, en el fondo, podría decir: "Ha agotado el presupuesto de disculpas del año. Necesito que se arriesgue un poco menos y deje que sus compañeros se arriesguen un poco más". He tenido esa conversación con la gente antes. Pero eso es lo que realmente necesitan saber. No es que vayas a pelear con ellos, sino que te tomarás la molestia de ser el que pida disculpas cuando rompas la compañía de alguna manera.

[Rinki Sethi] Me gusta la forma en que dijiste eso. Eso es exactamente. Eso es exactamente.

15:43.021

[David Chispa] Antes de continuar, quiero hablar sobre nuestro patrocinador, OffSec. Entonces, esto es genial. Escucha esto. OffSec, la compañía de desarrollo de habilidades y aprendizaje de seguridad cibernética detrás de la conocida certificación OSCP y Kali Linux Distro, ahora tienen una nueva solución creada específicamente para las necesidades únicas de la empresa. Se llama Learn Enterprise. Aw, eso es fácil de entender, ¿verdad? Con un plan Learn Enterprise, sus empleados obtienen acceso ilimitado a la biblioteca de aprendizaje de OffSec, que incluye más de 1500 videos, 2000 ejercicios prácticos y más de 800 laboratorios prácticos. La biblioteca se actualiza regularmente con contenido específico de roles de trabajo de defensa y ofensivos, desde básico hasta avanzado. Aún mejor, los titulares del plan obtienen acceso exclusivo a la nueva gama cibernética OffSec para practicar sus habilidades en un entorno del mundo real. Google, VMware, Microsoft, solo por nombrar algunos, confían en OffSec para las necesidades de desarrollo de su equipo. Puede obtener más información sobre la nueva oferta de OffSec, Learn Enterprise, simplemente visitando su sitio web. Es offsec.com. Déjame deletrearlo por ti. OffSec.com. OffSec.com, dirígete allí ahora.

Es hora de jugar, "¿Qué es peor?"

23:00.114

[David Chispa] Rinki, sé que sabes cómo jugar esto porque lo has jugado antes. Vamos a jugarlo de nuevo. Y este viene de... Les voy a decir, es nuestro remitente de listón azul de escenarios de "lo que es peor". El problema es que esta persona es anónima pero se conoce con el seudónimo de Osman Young.[Fonético 00:17:36] .¿Está bien? Entonces, este es el escenario de Osman. Es un poco largo, así que espera mientras lo supero.

[Andy Ellis]Osman se vuelve un poco más complejo cada vez que me doy cuenta.

[David Chispa] Sí, este es bastante complejo. diré eso

[Andy Ellis]Estoy esperando un simple "cara o cruz. ¿Cuál es peor?"

[David Chispa] No no no. Bueno, Osman es muy creativo. Como he dicho, Osman también podría tener una muy buena carrera en la escritura de ficción con estos. Muy bien, una empresa no tiene CISO, y la seguridad de la información es algo que TI opera y maneja teóricamente a veces cuando le da la gana. Por lo tanto, las infracciones que esperan ocurrir se esparcen por todo el entorno. Muy bien, escenario uno. Y voy a enfatizar que realmente no te va a gustar ninguno de estos. Tiene un servidor web DMZ que aloja una aplicación de misión crítica con mucha PII regulada en una base de datos SQL local. El NIC, controlador de interfaz de red, está directamente expuesto a Internet sin red ni firewall basado en host. Pero ejecuta Windows 2022 y se parchea dentro de las 24 horas posteriores al parche del martes de parches. SQL y todos los demás middleware de aplicaciones también se mantienen completamente actualizados. La base de datos SQL está repleta de información personal de clientes europeos, regulada por el RGPD. Entonces, obtuvo el nombre, la dirección, el teléfono, el correo electrónico, la fecha de nacimiento, los ingresos y el historial de ventas. El servidor tiene un software antimalware avanzado de un proveedor confiable, un cliente EDR, una solución de bloqueo de configuración avanzada, un inicio de sesión bien configurado y se alimenta a una SIM bien ajustada. Y el hardware de configuración del sistema operativo avanzado basado en las recomendaciones estándar de la industria, excepto el firewall. Eso es lo más importante que falta. Escenario número dos, tiene una estación de trabajo con Windows XP sin antimalware y sin otros controles de seguridad. Está sentado en su red interna. No tienes segmentación de red interna. Está ejecutando un navegador web que no se ha actualizado desde 2016. Los becarios lo usan en su hora de almuerzo para navegar por Internet. La estación de trabajo de Windows XP en sí no tiene información confidencial, pero se infectará con algo que permitirá que un atacante utilícelo como punto de partida o reúna reconocimiento en el resto de la red y lance otros ataques. Muy bien, Andy, ¿cuál es peor?

[Andy Ellis]¿Puedo suponer para el segundo escenario que tengo datos valiosos equivalentes en algún lugar de mi red?

[David Chispa] Sí. Sí. Sí.

[Andy Ellis]De acuerdo, solo quería asegurarme de que no... como en el segundo escenario, tengo que trabajar en una empresa que no tiene datos en absoluto, lo que en realidad podría ser bastante bueno.

[David Chispa]Literalmente, es como una computadora ficticia que es solo... Es como un ojo de buey para el resto de Internet.

[Andy Ellis] Es una computadora ficticia dentro de un entorno muy sensible. Oh, entonces este es fácil para mí. Voy totalmente con el número dos es el peor escenario.

[David Chispa] Sí, pero la cuestión es que podrías tener una gran seguridad en cualquier otro lugar. Es solo que esta cosa es...

[Andy Ellis]Dijiste que podría usarse como un punto de partida, lo que sugiere que no tengo una gran seguridad en ningún otro lugar, o lo habrías mencionado.

[David Chispa] No, pero esta tienda en particular adoptó el enfoque de capa exterior dura para la seguridad de la red. Internamente no hay monitoreo de red, inicio de sesión o controles. Entonces, una vez que un atacante... Bueno, tienes razón. La caja XP allí puede moverse libremente dentro de la red.

[Andy Ellis] Sí, entonces el número dos es definitivamente el peor. Y tengo dos razones por las cuales, y les daré las dos. Y sospecho que Rinki va a estar de acuerdo conmigo, así que voy a ganar esta vez. En primer lugar, lo que vemos que hacen los adversarios modernos son rutas de ataque de varios pasos. Entonces, esta idea de que si los datos confidenciales no están en la máquina que es su primer punto de entrada, estoy a salvo, solo debe desaparecer. Debe pensar que toda la red es realmente lo que están atacando, y ahora usted. Les he dado un punto de entrada. Entonces, esa es la razón uno. La razón por la que en realidad no soy... en realidad me gusta el escenario número uno. No creo que sea tan malo. Porque lo que has postulado es que para esa máquina, todo en ella se hace bien.

Lo que en realidad significa que no necesito un cortafuegos, y eso va a ser muy controvertido para mucha gente. Soy un gran fan de los controles de compensación. Pero un cortafuegos es un control compensatorio de la imposibilidad de realizar una seguridad perfecta. Pero es este escenario, y Osman Young me ha brindado seguridad perfecta en esa caja. Eso significa que no hay puertos abiertos a Internet, excepto para los servicios que estamos exponiendo a Internet. Que un firewall estaría exponiendo a Internet. El único riesgo real que tengo aquí si no tengo defensas de capa de red es DDAS. Eso sería un problema. Y, de hecho, si no pudiera encontrar una solución mejor, mi respuesta sería: tomaré el escenario uno que es mi favorito, y luego haré DDAS de mi servidor para que nunca pueda tener una violación de datos. .Pero ni siquiera voy a tener que ir tan lejos. Solo voy a decir que el número uno en realidad no es un mal escenario y es mejor que donde están la mayoría de las empresas. Entonces, el número dos es absolutamente lo peor.

[David Chispa] Está bien. Buena respuesta. Está bien, Rinki, voy a asumir que estás de acuerdo. ¿Estás de acuerdo con esto? Porque vi muchos asentir con la cabeza.

[Rinki Sethi] 100%. El número dos es terrible. La razón por la que tiene toda la seguridad de la red de seguridad perimetral es porque asume que alguien será manipulado socialmente. No tiene la seguridad perfecta, y hay una falta de parches y cosas por el estilo que luego se usarán para acceder a sus datos más confidenciales. Entonces, el hecho de que estas personas estén practicando el 100% de seguridad, Andy lo logró. , es DDAS es lo que me preocuparía. Pero incluso en ese caso, no conducirá a una violación, una violación de datos. Va a conducir a un problema de disponibilidad. Entonces, definitivamente el escenario número dos es malo.

[David Chispa]Está bien.

[Andy Ellis]Hay una razón por la que construí servicios de confianza cero en mi última empresa: detener el escenario número dos.

23:00.114

[David Chispa] En LinkedIn, Matthew Sullivan de Instacart dijo: "La gente de seguridad puede rechazar la IA abierta, Chat GPT, Copilot tanto como quiera. Pero recuerde que ya hemos pasado por esto con BYOD, Dev Ops, Cloud, y la proliferación de bibliotecas. La tecnología siempre gana. Su trabajo no es luchar contra ella. Su trabajo es convertirse en un experto absoluto en ella y asesorar a su gente y productos para obtener resultados exitosos". Entonces, me doy cuenta de que hay una larga historia de profesionales de la seguridad que se quejan de la inseguridad de las nuevas tecnologías. Y honestamente, cuando las nuevas tecnologías despegan, rara vez tienen mucha seguridad incorporada. La población nunca viene y dice: "La seguridad es correcta. Deberíamos dejar de usar esto que amamos". Entonces, la herramienta popular siempre gana. Rinki, ¿la seguridad siempre tiene que rendirse ante la derrota cuando las herramientas mal aseguradas se vuelven populares? ¿Deben simplemente convertirse en expertos a pesar de todo? ¿O tal vez hay algún término medio? ¿Qué piensas?

[Rinki Sethi] No creo que levantes las manos. Fue divertido, estaba leyendo un artículo sobre cinco características que hacen que un CISO sea malo, y uno de ellos habla exactamente de esto. Creo que fue CSO Online o algo sobre lo que leí ese artículo. Pero uno de ellos fue que el CISO entró y dijo: "No puede usar ninguna de estas herramientas porque son inseguras. Todavía no sabemos cómo están procesando los datos". Y entonces la gente encuentra soluciones. Van a usar las herramientas de todos modos, y luego el CISO se convierte en la mala persona de la organización. Entonces, creo que debe descubrir cuál es el riesgo para su organización y cómo puede educar a las personas sobre los buenos y malos usos de estas cosas. Creo que es cuando no adopta una perspectiva comercial y no No entiendo por qué y cómo la gente podría estar usando esto, y tratas de bloquear las cosas con tanta fuerza. Eso crea una vulnerabilidad mayor que el uso real de la herramienta. Y en algunos escenarios y en algunos entornos de riesgo, es posible que no acepte el riesgo de usar algo como Chat GPT, o Grammarly, o lo que sea. Pero creo que realmente comprender cuáles son los riesgos de su organización, cuánto puede monitorear y hacer cumplir, y cuánto puede educar a los usuarios. Entonces, si esa es tu forma de pensar, no necesariamente te sentirás derrotado. Entonces, creo que realmente se trata de cómo piensas sobre eso y cómo estás teniendo en cuenta el riesgo versus el tipo de valor comercial es realmente importante.

[David Chispa] Déjame hacerte una pregunta. ¿Ha tenido una situación en cualquier rol que haya tenido donde algo como el negocio amaba, y usted, como profesional de seguridad, dijo: "Oh, Dios mío, ¿qué diablos?" Y le dijiste a todo tu equipo: "Tenemos que resolver esto porque no podemos luchar contra esto. Esto se va a usar. ¿Qué es lo que vamos a hacer aquí?" ¿Has estado en esa posición?

[Rinki Sethi] Todo el tiempo. [Risas]

[David Chispa]Bueno.

[Rinki Sethi] Todo el tiempo. Especialmente cuando hay herramientas que tienen una versión empresarial, y dices: "Oye, no tenemos el presupuesto para obtener la versión empresarial que podría ser más segura". O en el caso de que no haya una versión empresarial y en su punto exacto, y tenemos que averiguar cómo vamos a permitir esto, o vamos a bloquearlo? ¿O hay alternativas? ¿Y cuáles son esas alternativas? Creo que eso es algo de lo que tenemos que hablar todo el tiempo. Hay nuevas tecnologías en este espacio que surgen todo el tiempo y tienen esas discusiones, comprender el riesgo y lo que puede aceptar o no, creo que eso es... todos los días, eso es lo que hacemos.

[David Chispa]Andy?

[Andy Ellis] Entonces, Rinki insinuó la solución para el 99% de estos, que son los contratos. Al igual que la gente se preocupa por "Oh, bueno, ¿qué pasa si filtramos datos confidenciales a Open AI?" Bueno, es por eso que probablemente no deberías usar la versión gratuita. Debería usar la versión paga y tener un contrato que los convierta en un proveedor real. Y para que pueda auditar y comprender lo que están haciendo, usted decide si Open AI le permitirá hacer eso. Mi preocupación sobre Chat GPT es completamente diferente, y creo que la mayoría de los profesionales de la seguridad están olvidando que el mayor riesgo es en realidad la reputación. Que es Chat GPT mentiras.

[David Chispa]Es un buen mentiroso, por cierto.

[Andy Ellis] Es un gran mentiroso. Es como ese [Beep] en un cóctel que solo inventa cosas que suenan bien. Y si tiene personas en su empresa que confían en él y solo copian, pegan y publican esos datos, eso es un riesgo mayor para su empresa para la mayoría de los CISO que el riesgo de que se divulguen datos confidenciales. Ahora, aún debe intentar para administrar el riesgo de datos confidenciales, pero no se desanime por eso y concéntrese en este agujero de conejo cuando el problema real es que tiene personas que no saben lo suficiente como para calificar las respuestas que ChatGPT les está dando usando Chat GPT. Y necesitan ser educados sobre cómo validar que lo que Chat GPT les acaba de decir es correcto. Y para aquellos de ustedes que piensan que Chat GPT es increíble, me encanta. Lo uso todo el tiempo. Y para recordarme a mí mismo antes de casi cada estiramiento, le pido que escriba una biografía mía y me la envíe. Y es increíble lo que piensa que he hecho en mi vida. Está incorrecto.

[David Chispa]¿Te hace sonar mejor de lo que eres?

[Andy Ellis] Diferente al menos. Mi favorito es que me dio una serie de premios de la industria que eran casi, pero no exactamente, los premios de la industria que tenía. Y yo digo: "Bueno, este otro Andy ganó seis premios en años un año o cerca cuando en realidad gané algo por una publicación similar". Fue muy extraño. Por lo tanto, mi mayor preocupación es que estará tan ocupado peleando esta batalla sobre si las personas deben usar Chat GPT o no que no tendrá una conversación sobre cuál es el proceso para usar Chat GPT en una manera que realmente ayudará al negocio.

28:41.374

[David Chispa] En Dark Reading, Steve Shelton de Green Shoe Consulting describe un escenario ficticio de un CISO que tiene un CEO molesto porque no ha podido enviar ni recibir correos electrónicos durante horas. El CISO ha ascendido de rango, asumiendo más responsabilidad y presión. El CISO está orgulloso de sus logros, pero teme que un incidente se derrumbe y arruine su reputación. una expectativa poco realista e irrazonable. Ahora, este escenario se publicó en febrero de 2023. Mi pregunta es qué tan realista es este escenario, especialmente la última parte. ¿Y dónde puede un CISO que se enfrenta a cualquiera de estos problemas en el lado derecho de los barcos? Cuáles son…? Y voy a preguntarte, Rinki, primero. ¿Cuáles son las expectativas de desempeño del CISO y su equipo de seguridad?

[Rinki Sethi] Es interesante porque siento que es mi trabajo establecer las expectativas y comunicarlas, y comunicarlas ampliamente. Y lo que quiero decir con eso es entender que no es solo mi trabajo comprender y asumir todos los riesgos sobre mis hombros, sino que es cuando algo sucede donde la gente esperaba que, "Oye, ¿por qué sucedería este tipo de cosas y cómo es que ¿Estos riesgos nunca me fueron comunicados a mí ni a la empresa? ¿Por qué no hubo transparencia? Ahí es cuando sientes que no estás haciendo tu trabajo. Pero, en cambio, si eres proactivo y vienes y dices: "Así es como se ve la disposición del terreno..." Y esto se relaciona muy bien con las comunicaciones de nuestra junta directiva y las comunicaciones ejecutivas sobre: ​​"Esta es nuestra evaluación. Esto es lo que Lo estoy haciendo muy bien y lo que puede esperar de mí en estas áreas porque hicimos buenas inversiones como empresa, pero aquí están las áreas en las que nos faltan las inversiones adecuadas o las capacidades adecuadas.

O hemos tomado algunas decisiones juntos como equipo de liderazgo sobre los riesgos que vamos a aceptar". Luego, cuando sucede algo, no es solo el CISO. Es, "Oye, ¿cómo...? Si esto era tan importante, tal vez debamos volver atrás y hacer las inversiones correctas". Entonces, enfatizo dos cosas. Creo que el rol de CISO ha cambiado y se ha convertido en una comunicación, educación, comprensión del negocio, comunicación de riesgos. Es así, Es muy importante hacer eso y no solo guardarlo para uno mismo. Y que haya alineación en eso. Y si lo haces de forma continua, creo que estás bien. No te encuentras con este tipo de situación. Con suerte. Y enfatizo la palabra continuo porque los riesgos cambian, y puede haber algo que usted diga, "Creo que este es un riesgo enorme, y tenemos que hacer algo al respecto. Entonces, es mi trabajo plantear..." Porque yo Soy el que está paranoico y pensando en estas cosas constantemente, es mi trabajo levantar la mano e ir y decirle a las personas apropiadas y luego alinearme sobre cómo queremos lidiar con eso.

[David Chispa] Mike Johnson, nuestro otro coanfitrión, ha dicho que si su CEO o miembro de la junta está haciendo la clásica pregunta sin respuesta de "Cuán seguros estamos", entonces usted, como CISO, no ha educado a la junta adecuadamente. Entonces, quiero respuestas rápidas de ambos. Andy, ¿qué haces para asegurarte de que esa pregunta no se haga de esa manera, y deberían estar preguntando...?

[Andy Ellis] A menudo, lo que dice Mike es: "¿Dónde está nuestro programa de seguridad? ¿Dónde estamos nosotros?" De hecho, me encanta esa pregunta porque puedes convertirla en una invitación para una conversación más profunda. Está bien decir: "Mira, esa es una pregunta realmente compleja". Y tengo formas graciosas de desviarlo si es necesario. De hecho, bromeo sobre el ejército y me gusta si te piden que asegures un edificio, seguro significa cosas muy diferentes para las diferentes ramas del edificio. Todo, desde obtener un contrato de arrendamiento cuando estás en la fuerza aérea hasta simplemente hacerlo explotar cuando estás en la infantería de marina, así que ten cuidado con lo que pides.

Pero puede tener esa conversación porque lo que realmente quiere poder hablar con la junta es decir: "Oye, estas son las pérdidas inaceptables que nos preocupan. Estas son las peores cosas posibles. Esto es lo que estamos haciendo para control para ellos Y creemos que eso es razonable dado el tamaño de nuestra empresa y los riesgos que enfrentamos ". Y en algún momento tienen que confiar en usted. Porque al final del día, eso es lo que están haciendo: confiar en que usted es su asesor y les está diciendo si el programa actual es razonable. Y su gobierno se basa solo en eso. Ahora, puede intentar comunicarse con él por un número. "Oh, somos un 75 en la escala Spark". O, "Somos un épsilon rojo en la escala de Ellis", o cualquier cosa loca que tú y yo podamos pensar. Pero al final del día, ese es tu objetivo: poder comunicarte claramente. Y vas a tener días malos. Lo que me pareció fascinante de esta pregunta fue que el escenario era alguien en medio de un incidente que estaba preocupado por su trabajo después del incidente, lo que en realidad me dice que hay un problema. Porque durante un incidente, estás concentrado en " ¿Cómo solucionamos el incidente? ¿Cómo nos comunicamos?

[David Chispa]Bueno, es obvio en este escenario que no hay una buena relación con la alta dirección y el CISO.

[Andy Ellis] Puede que no haya, pero en realidad puede que no haya un buen modelo de incidente. En una organización sana, tienes incidentes de forma regular. La mayoría de ellos no tienen resultados realmente malos. Pero al menos son visibles para que la gerencia entienda que eres capaz de manejar incidentes. Porque eso es lo que leo entre líneas. Y tal vez sean solo mis propios prejuicios. Pero como esto está caído, y tú me arreglas las cosas. ¿Por qué no ha vuelto todavía? ¿Por qué el CEO no entiende cómo funcionan los incidentes? ¿No les has enseñado en todos los años de arreglar cosas que no arreglas las cosas instantáneamente?

[David Chispa]Es posible que el escritor de esta pieza necesite algo de educación en escritura de ficción de Osman Young.

[Andy Ellis]Creo que es una gran idea.

[David Chispa] Sí. Sí, eso es lo que pienso. Muy bien, Rinki, quiero que termines con esto por nosotros. ¿Qué haces si te enfrentas a la pregunta de qué tan seguros estamos?

[Rinki Sethi] Creo que Andy lo logró. Creo que si es... Espero haberles pintado un cuadro para mostrarles cuál es nuestro programa de seguridad. No hay respuesta a cuán seguros estamos. Se trata más de "Esto es lo que es nuestro programa de seguridad, y aquí es donde yacen nuestros riesgos". Y me gustaría que salieran y dijeran: "Entiendo muy bien dónde hemos hecho inversiones y dónde nos faltan inversiones en seguridad. O qué riesgos hemos tomado y somos buenos y cuáles tenemos". 't." Y esa, creo, es su respuesta a cuán seguros estamos. Recibimos ese tipo de preguntas. "Dame un número que lo defina". Y es como si no existiera tal cosa, y eso significa que hay una falta de comprensión amplia al respecto. Y al punto de Andy, eso significa que no he hecho mi trabajo al definir claramente qué es la seguridad.

35:25.191

[David Chispa] Excelente punto. Bueno, eso nos lleva al final de este programa. Muchas gracias, Rinki, quien... Esa fue Rinki Sethi, quien es la CISO de BILL. Solo FACTURA. Pero puede encontrarlos en bill.com. Y muchas gracias a nuestro patrocinador, OffSec, por apoyar este episodio. Nuevo patrocinador de la Serie CISO. Recuerde, su sitio web es offsec.com. Y si desea ampliar su personal, lo que supongo que hará porque todos necesitan un personal aún más inteligente, échales un vistazo en offsec.com. Rinki, ¿estás contratando en este momento?

[Rinki Sethi] Absolutamente estamos contratando. Y si estás buscando, nos encantaría tenerte en el equipo. BILL se enfoca en cómo automatizamos las operaciones financieras para pequeñas y medianas empresas. Y también somos un proveedor en el que se puede confiar. Contamos con un increíble equipo de profesionales de la seguridad cibernética que realmente se preocupa por nuestros clientes y los datos de nuestros clientes.

[David Chispa] Impresionante. Muy bien. Entonces, asumo que verifique el sitio de BILL. ¿Y pueden contactarte a través de LinkedIn? ¿Sí?

[Rinki Sethi]Absolutamente.

[David Chispa] Impresionante. Andy, ¿alguna última palabra?

[Andy Ellis] Oh, siempre me encantan las últimas palabras. Pero en este caso, si Rinki decide no contratarte, nuestra cartera siempre está contratando. Puede ir a jobs.ylventures.com.

[David Chispa]Entonces, les está diciendo a todos que pasen por bill.com primero.

[Andy Ellis] Absolutamente. He querido trabajar para Rinki durante toda mi carrera y nunca logré lograrlo, para poder vivir indirectamente a través de nuestros oyentes.

[David Chispa] Oh Si consigues un trabajo... Por cierto, deja nuestro nombre cuando te pongas en contacto con ellos. ¿Quién sabe qué pasará? No tengo control sobre eso. Pero hazlo, solo deja nuestro nombre cada vez que puedas. Muchas gracias Rinky. Muchas gracias Andy. Y gracias a nuestra audiencia. Apreciamos mucho sus contribuciones y por escuchar el podcast de la serie CISO.

[Narración] Eso concluye otro episodio. Si no te has suscrito al podcast, hazlo. Tenemos muchos más espectáculos en nuestro sitio web, cisoseries.com. Únase a nosotros los viernes para nuestros programas en vivo, Super Cyber ​​Friday y Cyber ​​Security Headlines - Week in Review. Este espectáculo se nutre de su entrada. Siempre estamos buscando más debates, preguntas y escenarios de "lo que es peor". Si está interesado en patrocinar el podcast, consulte los videos explicativos que tenemos en el menú de patrocinadores en cisoseries.com. Y/o comuníquese con David Spark directamente en david@cisoseriescom. Gracias por escuchar el podcast de la serie CISO.