Clarke Rodgers (00:08):
Muchas gracias por participar y estar aquí hoy.

Aman Sirohi (00:10):
Faltaba más, gracias. Es un gran día.

Clarke Rodgers (00:11):
Si eres tan amable, cuéntame un poco sobre tu experiencia y lo que haces en People.ai.

Aman Sirohi (00:16):
Por supuesto. Somos una empresa de inteligencia de ingresos. Por lo tanto, lo que hacemos es ayudar a los líderes de ventas a tomar decisiones con mayor rapidez utilizando los datos. Así que la seguridad es lo más importante para todos nosotros, ya que ingerimos los datos del cliente y le proporcionamos datos a su vez para tomar esas decisiones analíticas.

Clarke Rodgers (00:30):
Cuando hablo con muchos CISO, hablamos del tipo de evolución del rol del CISO a lo largo del tiempo, ¿verdad? Y durante mucho tiempo, el puesto de CISO se consideró como un “experto en seguridad técnica” y, en realidad, solo se contrataba para sofocar incendios si ocurría algún incidente dentro de una organización. Pero hoy en día, la mayoría de los CISO de éxito que vemos por ahí son en realidad líderes empresariales en primer lugar y, quizás, profesionales de la seguridad en segundo lugar. ¿Puedes hablar un poco sobre cómo has visto evolucionar el puesto y quizás sobre tus experiencias?

Aman Sirohi (01:05):
Sí, por supuesto. Creo que, si retrocedemos cinco o diez años, los CISO estaban en lo cierto. Nuestro trabajo consistía en proteger a la empresa. Somos expertos en seguridad, estamos en segundo plano, entre bastidores y, si nos fijamos en la actualidad y en el futuro, la seguridad es primordial para todos, en todos los sectores. En realidad, la seguridad debe ser lo primero, ¿verdad? Así que siempre usé esa frase en la empresa: “Pon la seguridad por delante. No adoptes un rol defensivo. Informa al cliente sobre su seguridad. Dile al cliente lo importante que es la seguridad para la empresa.” Porque entonces el cliente que te atiende afirma: “Vaya, sabes de lo que estás hablando”. Se sienten más seguros con solo hablar contigo porque eres proactivo, ¿verdad?

Clarke Rodgers (01:43):
Ganarse esa confianza.

Aman Sirohi (01:43):
Claro, digamos que estás creando esa confianza, y yo diría que la confianza se construye en capas. Cuando vas al comité ejecutivo, siempre se trata de lo que han oído por ahí. Siempre recuerdas que estos miembros de la junta, el personal electrónico, son amigos y comentan: “¿Te enteraste de tal hackeo? ¿Y te has enterado de esto?”.

Así que, en realidad, lo que hago es hablar de la seguridad en general. ¿Qué está pasando en nuestro espacio? Ya sea que nos veamos afectados o no, siempre es bueno poner eso en primer plano en esas reuniones, porque en el fondo de sus mentes es como: “Oh, mi amigo me habló de este hackeo y esto es lo que ocurrió en nuestro entorno, pero por eso no nos vimos afectados”.

Se trata más de contar una historia, educar, ser más relativos y conectarse con los pensamientos e ideas de los demás, y creo que ahí es donde la seguridad se hace más poderosa.

Clarke Rodgers (02:29):
Interesante. Entonces, cuando tienes esas conversaciones a nivel de junta directiva y cuentas estas historias, ¿te refieres a: “Tuvimos X cantidad de vulnerabilidades y pudimos solucionarlas en este período de tiempo” o estás hablando en términos de riesgo en torno a las pérdidas y ganancias de la empresa?

Aman Sirohi (02:45):
Si te fijas en diferentes juntas directivas, y he tenido la suerte de trabajar en un par de empresas diferentes, cada junta es un poco diferente. Algunas juntas tienen más que ver con: “Oye, enséñanos”. Y luego están las juntas que son básicamente lo suficientemente inteligentes y perspicaces, que tal vez no sean profesionales de la seguridad, pero están muy bien informadas sobre el área. Así que la forma en que lo hago es empezar con: “¿Qué estamos haciendo en la industria? ¿Qué está haciendo nuestra industria? ¿Qué significa la seguridad para ellos?”. Luego entro en los valores o capacidades empresariales que se relacionan con nuestros resultados finales.

Te diré que siempre se necesita tener datos para respaldar tu propia posición de seguridad. Podría haber un aumento y, por ejemplo, que los intentos de suplantación de identidad se multiplicasen por 10 el mes pasado. No puedes ir a una reunión de la junta y decir: “¿Cómo han ido nuestras campañas de suplantación de identidad?” “Lo revisaré y te informaré”. Mala respuesta.

Tienes que estar preparado, tienes que tener los datos. Podrías decir: “La diapositiva 54 muestra la situación actual respecto a la última...”. Al final del día, siempre pienso que si los miembros de la junta preguntan, hay que ponérselo fácil.

Clarke Rodgers (03:42):
Por supuesto.

Aman Sirohi (03:42):
Hazlo fácil. Haz que sea fácil para ellos digerir la información. Entonces tu trabajo es más fácil y todos siguen el mismo camino.

Clarke Rodgers (03:49):
Por lo tanto, facilitar las cosas a la junta directiva es una cosa, pero si cambiamos a hacerlo dentro de la empresa, también querrás facilitar que los equipos de productos y desarrollo hagan las cosas de la manera correcta y segura. ¿Puedes hablar un poco sobre algunos de los mecanismos que has establecido para lograrlo?

Aman Sirohi (04:07):
Y diré algo que tal vez sea demasiado simple: se trata de mantener una conversación. Si realmente mantienes una conversación, te comunicas y te sientas con el CTO, el Chief Engineer o el Chief Architect, y hablas de lo que mucha gente llama “shift-left”. Y he estado en organizaciones en las que decías: “Necesito resolver esta vulnerabilidad y necesito que cambies tu sprint”. La mayoría de los desarrolladores de productos dicen: “Necesito impulsar esta capacidad”. La capacidad les hace ganar dinero, así que se guían por la implementación de capacidades, ¿no?

Entonces, si realmente tienes una conversación y dices: “Mira, tenemos que ir más despacio. Tal vez no sea este sprint, quizás sea el próximo, y tengamos que poner estas puertas de seguridad para asegurarnos de que publicamos un código seguro”. Así que, según el modelo NIST SSDF, digo: “Si vas a cualquier cliente y dices: 'Cliente X, ¿me podrías dar una semana más para poder producir un software seguro?' Siempre dirán: 'Sí'”. No hay ningún cliente que no vaya a hacer eso, ¿verdad? Por lo tanto, siempre vuelvo a los aspectos básicos de ser realmente abierto, comunicativo.

Siempre se refieren a nosotros como “el gran hermano que está vigilando”, los policías. Pero no es así. No es así en absoluto. Y si vas por un camino diferente, entonces es como: “Mira, está bien, no va a ser este sprint, será el próximo sprint. Suena bien.” Es posible que necesiten la aprobación de su Chief Product Officer para asegurarse de que están de acuerdo, pero al menos ahora estás creando una comunidad y estás creando una razón por la que hacemos esto, en lugar de decir: “Bueno, la seguridad nos obliga a hacer tal cosa”.

Clarke Rodgers (05:23):
Eso es fantástico. Como CISO, tienes la responsabilidad de proteger a la organización e implementar todos los diferentes programas y mecanismos de seguridad para que la actividad empresarial sea lo más segura posible. Pero también tienes la tarea de permitir que la empresa innove, ¿verdad? ¿Cómo se equilibran las dos cosas?

Aman Sirohi (05:43):
Es un equilibrio muy delicado. Al ser una startup, la velocidad lo es todo, la escalabilidad lo es todo. Las demandas de los clientes también son... tienes un producto, tienes capacidad, y el cliente X quiere esto, el cliente Y quiere eso, ¿verdad? Por lo tanto, volvemos a la hoja de ruta del producto. Así que realmente tienes que, como CISO o cualquier tipo de puesto de seguridad, conseguir un asiento en la mesa en la que se hable de la hoja de ruta del producto.

Cuando el personal electrónico se siente allí y hable sobre cómo será el próximo trimestre, cómo será el próximo año, tienes que ser parte de esas conversaciones. Creo que ahí es donde realmente se logra esa innovación y, si doy un paso más, como CISO, es posible que aprenda algo que necesite cambiar en el aspecto de la seguridad, porque se están produciendo innovaciones en los productos y hay que facilitarles las cosas, ¿verdad? Así que, por supuesto, alguien dice: “Vaya, MFA”. Y yo digo: “No. Eso no es negociable”. Todo el mundo tiene que contar con eso. Eso tiene que estar ahí, ¿cierto? Sin embargo, como profesionales de la seguridad, hay formas en las que podemos facilitar las cosas a los desarrolladores para que no tengan que pasar por obstáculos cuando hagan su trabajo.

Clarke Rodgers (06:48):
Eso es muy, muy interesante. Muchos CISO tienen, no diré, desafíos, pero tienen un personal de seguridad limitado dentro de la organización y siempre están tratando de encontrar formas de aumentar el rendimiento y la influencia que el equipo de seguridad tiene en las partes de la organización no relacionadas con la seguridad. Como desarrolladores, equipos de servicio, tal vez se trate de contabilidad, quizás de finanzas, recursos humanos, sea cual sea el caso. ¿Qué piensas al respecto y cómo posicionas la cultura de seguridad en tu organización para garantizar realmente que la seguridad sea tarea de todos?

Aman Sirohi (07:27):
Es complicado. No es fácil porque en marketing quieren algo diferente. En finanzas quieren otra cosa. La gente de ventas que viaja a diferentes países, diferentes estados, quiere facilidad para hacer negocios.

Especialmente en tiempos económicos como los actuales, tenemos menos personal y tenemos menos fondos o menos dinero, pero nuestra responsabilidad no ha cambiado. Por lo tanto, si nuestra responsabilidad no ha cambiado, básicamente tenemos que encontrar formas creativas de hacer que esto suceda. Y una de las estrategias más significativas en mi empresa anterior y en esta empresa es cuando los miembros de tu equipo se reúnen con un grupo de pares u organizaciones para establecer la seguridad inicial, de nuevo, vuelvo a la educación, a la comunicación... yo no voy. De hecho, no voy porque no quiero que se convierta en “Oh, el CSO está aquí” o...

Clarke Rodgers (08:16):
Vaya, interesante.

Aman Sirohi (08:16):
“El liderazgo está aquí y tenemos que escuchar al liderazgo”. Dejo que los miembros de nuestro equipo se comuniquen, construyan y fomenten esas relaciones, ¿no? Porque luego están hablando con su compañero, están hablando con su colega. Entonces, cuando empiezas a implementarlo en toda la empresa, es más fluido porque has hecho tus deberes, has hecho tu diligencia debida.

Clarke Rodgers (08:37):
Has creado algunos aliados.

Aman Sirohi (08:38):
Has creado algunos aliados, pero los creas sin estar allí. Porque si los líderes de seguridad o si el líder está ahí, es un tono completamente diferente, un juego completamente diferente, una conversación completamente diferente. “Vaya, mi jefe está aquí, así que tenemos que hablar de esto. Tengo que escuchar”. Pero creo que hay que permitir que otros hagan lo mismo. Y es muy difícil, pero creo que hay que construir ese ecosistema, hacer que los miembros individuales del equipo puedan llevar esa batuta y ser profesionales de la seguridad para el resto.

Clarke Rodgers (09:08):
Eso es fantástico. Entonces, dentro de tu equipo de seguridad propiamente dicho, ¿qué tipo de habilidades, rasgos o experiencia buscas cuando contratas a alguien para el equipo de seguridad?

Aman Sirohi (09:20):
El rasgo número uno es la curiosidad; no puedo enseñarte a ser curioso.

Clarke Rodgers (09:25):
Interesante.

Aman Sirohi (09:25):
Puedo enseñarte seguridad. Puedo formarte en X, Y, Z. Puedo darte planes de estudios de una universidad, pero no puedo enseñarte a ser curioso. Y la seguridad, y en esto estamos todos estamos de acuerdo, no es lo mismo todos los días. Está cambiando de un día para otro y seguirá cambiando. Así que, cuando tienes una mente curiosa, eres capaz de adaptarte a diferentes respuestas. Un día aparece una vulnerabilidad que dice X, mañana la misma vulnerabilidad no será X, será Y. Y si tienes suficiente curiosidad y piensas: “Bien, permíteme profundizar y hacer clic en este botón”, y eres capaz de hacerlo, para mí, eso es lo principal.

Así que utilizo una prueba muy interesante cuando contrato personas. Les doy tres palabras: ambición, confianza e inteligencia, y les pido que se clasifiquen según si su atributo más destacado es la ambición, la confianza o la inteligencia. Y siempre me corresponde a mí entender qué tipo de dinámica aportas. Porque si tuviera un equipo solo de personas inteligentes, todos hemos pasado por eso, todas esas personas inteligentes en una habitación, no se haría nada porque todos piensan que son más inteligentes que los demás, ¿verdad? Y si solo tuviéramos gente confiada, sin ánimo de ofender, subestimarían la seguridad porque dirían: “Bueno, está bien. ¿Hoy no? Ya lo haremos mañana. ¿Mañana tampoco? Lo haremos más adelante.” Y si tienes gente ambiciosa y si su rasgo principal es “soy ambicioso por encima de todo”, no puedes ascenderlos a todos.

Así que cuando entrevistamos, nos sentamos y lo primero que digo es: “Muy bien, demuéstrenme si son ambiciosos, humildes o inteligentes. ¿Qué piensan que son?”. Entonces quieres crear la ecuación correcta de un equipo. Debes asegurarte de que el equipo esté bien equilibrado y, según tu ecosistema (ya sea financiero, minorista, SaaS o criptográfico), es posible que necesites que destaquen algunos atributos. En cambio, en ciertas industrias, es posible que necesites que ciertos atributos destaquen menos. Así es como veo la creación de un equipo o la contratación de un equipo dentro de mi organización de seguridad.

Clarke Rodgers (11:18):
Entonces, parece que la diversidad del equipo es el elemento clave aquí, ¿no?

Aman Sirohi (11:23):
Lo es, absolutamente. Tengo un miembro del equipo en Canadá. Tengo un miembro del equipo en la Costa Este. Tengo un miembro del equipo a nivel internacional. ¿Me gustaría que estuvieran todos en el Área de la Bahía o en la misma oficina? Sí, pero ya sabes, eso no es factible. Creo que la COVID nos enseñó todo eso y creo que la diversidad, que la experiencia, que la curiosidad solo llega cuando encuentras personas con mentalidades diferentes.

Clarke Rodgers (11:45):
Es increíble oír eso. Últimamente, las herramientas de IA generativa han estado en todas las noticias. ¿Qué piensas desde el punto de vista de la seguridad, ya que cada vez más personas, y supongo que más empresas, se benefician de algunas de estas herramientas?

Aman Sirohi (12:04):
Creo que esta va a ser una innovación para la que no estamos preparados. Va a haber mucha innovación y será necesaria mucha seguridad debido a la rapidez con la que se innovan y lanzan las herramientas.

Estamos intentando crecer a escala, con herramientas de código abierto y la lista continúa. Con lo que creo que nos vamos a topar bastante rápido es con el riesgo de la IA. ¿Qué significa esta exposición al riesgo para tu empresa y tus clientes?

Todos los contratos que conozco dicen que los datos de terceros no pueden salir de su entorno e ir a una fuente de terceros. No importa el modelo de IA que desees utilizar, esos datos salen de su entorno, van a una fuente de terceros y regresan para brindarte alguna respuesta. Por lo tanto, creo que habrá muchos cambios en la forma en que lo ve el sector legal, en la forma en que el cliente y la empresa asumen el riesgo. Creo que habrá mucha innovación en el área.

Clarke Rodgers (13:08):
¿Es el riesgo que rodea la “caja negra” de estos servicios o qué es lo que preocupa específicamente en cuanto al riesgo?

Aman Sirohi (13:17):
Yo diría que ambas cosas. Quiero decir, creo que es una caja negra porque no sabemos lo que no sabemos, ¿verdad?

Clarke Rodgers (13:22):
Por supuesto.

Aman Sirohi (13:23):
Una cosa interesante en la que tú y yo probablemente estemos de acuerdo es que una vez que le enseñas algo, no puedes volver atrás y decir “eliminar”, ¿verdad? Es muy caro volver atrás y quitar eso del modelo. Así que ese es una trampa con el que vas a tener que lidiar porque vas a obtener información incorrecta y va a estropear la ecuación y vas a tener que lidiar con eso.

Creo que el riesgo vendrá en términos de qué datos se están proporcionando a esta herramienta de inteligencia artificial. Ahora bien, ¿esa herramienta de inteligencia artificial es pública? ¿Vamos a tener todos inteligencia artificial internamente en nuestra casa? Creo que todo eso debe estar resuelto.

Va a ir a una velocidad a la que no estamos preparados. ¿Y ese riesgo que conlleva desde la perspectiva de la empresa? Una cosa que tengo que decir es que, desde el punto de vista regulatorio, no tengo ni idea. Esto va a ser... ni siquiera sé cómo lo van a interpretar las regulaciones porque hay que encontrar la manera de ponerle algunas barreras de protección. De lo contrario, será un descontrol.

Clarke Rodgers (14:27):
Básicamente, los líderes tienen que entender los riesgos que van a asumir si quieren aceptar utilizar estas herramientas como parte del negocio.

Aman Sirohi (14:35):
Sí, ¿y cómo se controla a alguien que está en un departamento diferente que descarga una de estas herramientas y comienza a proporcionarle información? ¿A dónde va esa información? ¿Existe hoy alguna herramienta que nos avise a ti o a mí que diga que fulano ha introducido esta información en este modelo de IA que infringe la política?

Clarke Rodgers (14:55):
Bueno, ¿quizás haya una oportunidad de seguridad aquí?

Aman Sirohi (14:58):
Sí, de hecho creo que habrá varias oportunidades de seguridad diferentes. Creo que también va a ser estupendo para el entorno.

Clarke Rodgers (15:05):
En esa misma línea de pensamiento, si tuviéramos esta conversación dentro de cinco años, ¿de qué vamos a hablar?

Aman Sirohi (15:13):
Creo que hablaremos de cómo todo nuestro trabajo duro y mundano en realidad ya se hace por nosotros. Hace poco leí un artículo en el que alguien usó una de estas herramientas y dijo: “Estoy planeando un viaje a una zona vinícola. Tiene que ser apto para niños. Necesita tener este presupuesto y X, Y y Z”. Hizo todas las tareas, encontró un lugar con cancha de bochas, envió un correo electrónico, lo reservó y lo puso en el calendario.

Antes, había una persona que llamaba a las diferentes bodegas o buscaba en Google varias bodegas o utilizaba algún tipo de motor de búsqueda para averiguar algo, pero eso ya no es necesario. Así que creo que será muy interesante para nosotros ver en qué nos estamos centrando dentro de cinco años. Creo que serán los humanos quienes interpreten estos datos, por lo que no serán simplemente automatizados y gratuitos para todo el mundo. Creo que tendremos que agregar un poco de interacción humana en cada paso crítico para asegurarnos de no ir por el camino equivocado.

Clarke Rodgers (16:19):
¿Y cómo vas a tener esa conversación con la junta directiva? ¿Cómo crees que será?

Aman Sirohi (16:24):
Ya hemos empezado a tener conversaciones internas. Tenemos políticas. Tenemos principios. Esto no va a ser fácil. Va a llevar algún tiempo. No tengo una buena respuesta, para ser muy transparente al respecto, pero creo que aquí es donde deberíamos tener más conversaciones. Deberíamos tener la mente de los CISO, que es como... “¿Cómo estás abordando esto? ¿Cómo vas a regular esto?”. Porque creo que cuanto más hablemos de ello, será más fácil para nosotros protegernos unos a otros y mantener a raya a los adversarios, porque los adversarios también van a utilizar esto.

Clarke Rodgers (16:57):
Es una oportunidad para todos.

Aman Sirohi (16:58):
Sí, por supuesto.

Clarke Rodgers (17:00):
Para terminar, ¿algún consejo para tus colegas CISO?

Aman Sirohi (17:03):
Me encantaría que me dieran consejos. Yo diría que lo único que he aprendido, y que también he aprendido de mi grupo de colegas, es a estar más cerca de tu empresa. Tienes que participar en esa conversación con tu CFO, con tu CRO, con tu Chief Product Officer y tu Chief Strategy Officer. Tienes que estar más cerca de ellos, porque eso es lo que te ayudará a darte cuenta de lo que mueve los resultados, lo que protege a la empresa.

Entonces, si puedes ser parte de esa conversación y contar con tus capacidades para ayudarlos a alcanzar sus objetivos, obtendrás más clientes. Cuando regresas y pides financiación, la gente entiende por qué la pides. Por lo tanto, creo que mi consejo sería acercarse a ese grupo de personas, entender su negocio y lo que los impulsa, eso facilitará el camino para un CISO.

Clarke Rodgers (17:55):
Me parece un buen consejo.

Aman Sirohi (17:57):
Sigo intentándolo. No sé. Algunos días lo consigo y otros no, así que ya veremos.

Clarke Rodgers (18:03):
Genial. Bueno, Aman, muchas gracias por tu tiempo hoy.

Aman Sirohi (18:05):
Ha sido un placer. Muchísimas gracias.