Clarke Rodgers (00:08):
Grazie mille per essere qui con me oggi.

Aman Sirohi (00:10):
Certo, grazie. È un gran giorno.

Clarke Rodgers (00:11):
Potresti parlarmi un po' del tuo background e di cosa ti occupi in People.ai.

Aman Sirohi (00:16):
Certo. Siamo una società di revenue intelligence. Quindi, ciò che facciamo è aiutare i responsabili delle vendite a prendere decisioni più rapidamente utilizzando i dati. La sicurezza è al primo posto per tutti noi perché acquisiamo i tuoi dati e te ne forniamo altri per prendere decisioni analitiche.

Clarke Rodgers (00:30):
Quindi, confrontandomi con altri CISO, parliamo del tipo di evoluzione del ruolo dei CISO nel tempo. Per molto tempo, il CISO è stato considerato come un esperto di sicurezza tecnica e in realtà doveva intervenire solo se accadeva qualcosa di molto grave all'interno dell'organizzazione. Oggi, la maggior parte dei CISO di successo sono in realtà prima di tutto leader aziendali e forse in secondo luogo professionisti della sicurezza. Puoi parlarci di come hai visto evolversi il ruolo e delle tue esperienze?

Aman Sirohi (01:05):
Certamente. Se torniamo indietro di cinque o dieci anni, i CISO erano davvero perfetti. Il nostro compito era proteggere l'azienda. Siamo esperti di sicurezza, lavoriamo dietro le quinte e, se consideriamo la situazione odierna e futura, la sicurezza è un concetto fondamentale per tutti, in ogni settore. La sicurezza in realtà deve essere anticipata, no? Per questo motivo, in azienda ho sempre usato la frase: "Mettete la sicurezza in primo piano. Non giocate in difesa. Parlate con il cliente della vostra idea di sicurezza. Spiegate al cliente quanto sia importante la sicurezza per l'azienda". Perché poi il cliente davanti a voi pensa che sappiate di cosa state parlando. Si sente più sicuro anche solo parlando con voi, perché siete proattivi.

Clarke Rodgers (01:43):
Guadagnarsi quella fiducia.

Aman Sirohi (01:43):
Sì, quindi state costruendo quella fiducia, una fiducia fatta a strati. A livello di comitato esecutivo, si tratta sempre di ciò che hanno sentito. Questi membri del consiglio di amministrazione, lo staff elettronico, sono amici e dicono: "Hai sentito di quell'attacco? E hai sentito di quest’altra cosa?"

Quindi, quello che faccio è in realtà parlare di sicurezza in generale. Cosa sta succedendo nel nostro ambito? Indipendentemente dal fatto che siamo stati colpiti o meno, è sempre bello mettere in primo piano questo aspetto durante le riunioni, perché in fondo pensano: "Stavamo parlando di questo attacco e questo è quello che è successo nel nostro ambiente, ma questo è il motivo per cui non siamo stati colpiti".

Si tratta più di raccontare una storia, educare, essere più connessi e connettersi ai pensieri e alle idee degli altri, e penso che sia qui che la sicurezza diventa più potente.

Clarke Rodgers (02:29):
Interessante. Quindi, quando parli al consiglio di amministrazione e racconti queste storie, parli di "Avevamo un numero X di vulnerabilità e siamo stati in grado di correggerle in questo lasso di tempo" o parli in termini di rischi legati al P&L dell'azienda?

Aman Sirohi (02:45):
Se si considerano i diversi consigli di amministrazione, e ho avuto la fortuna di far parte di un paio di società diverse, ogni consiglio è leggermente diverso. In alcuni si chiede di imparare. In altri ci sono persone che sono fondamentalmente abbastanza intelligenti ed esperti, che magari non sono professionisti della sicurezza, ma sono molto ben informati. Io quindi inizio con: "Cosa stiamo facendo nel nostro settore? Cosa sta facendo il nostro settore? Che significato ha la parola sicurezza?" Poi passo effettivamente ai valori o alle capacità aziendali che si ricollegano ai nostri profitti.

Ti dirò che devi sempre disporre dei dati per sostenere la tua posizione di sicurezza. Potrebbe esserci un picco e, ad esempio, i tentativi di phishing sono stati 10 volte più numerosi il mese scorso. Non puoi andare a una riunione del consiglio e quando chiedono: "Allora, come sono andate le nostre campagne di phishing?" rispondere "Ti rispondo più tardi". Pessima risposta.

Devi essere preparato, devi avere i dati. Puoi dire, "La diapositiva 54 in realtà mostra la nostra situazione attuale rispetto a quella precedente...". In fin dei conti, penso sempre che se i membri del consiglio chiedono, devi rendere le cose semplici.

Clarke Rodgers (03:42):
Certo.

Aman Sirohi (03:42):
Renderle semplici. Facilita loro l’acquisizione delle informazioni. Allora il tuo lavoro è più facile e tutti avranno lo stesso livello di informazioni.

Clarke Rodgers (03:49):
Quindi, semplificare le cose per il consiglio di amministrazione è una cosa, ma se passiamo all'interno dell'azienda, vogliamo anche semplificare le operazioni per i team di prodotto e sviluppo, che devono fare le cose nel modo giusto e sicuro. Puoi parlarci un po' di alcuni dei meccanismi che hai impostato per far sì che ciò accadesse?

Aman Sirohi (04:07):
Forse è un po’ troppo semplificato, ma l’importante è avere una conversazione. Se hai una vera conversazione, se comunichi e ti siedi con il CTO, l'ingegnere capo o l'architetto capo e si parla, si dice che avviene uno "spostamento a sinistra". Ho lavorato in organizzazioni in cui mi veniva detto: "Devo risolvere questa vulnerabilità e ho bisogno che tu cambi sprint". La maggior parte degli sviluppatori di prodotti dice: "Devo estendere questa capacità". La capacità li fa guadagnare, quindi sono guidati dalla spinta alla capacità, giusto?

Se invece hai una conversazione e dici: "Guarda, dobbiamo rallentare. Forse non è questo sprint, forse è il prossimo, ma dobbiamo mettere questi paletti di sicurezza per essere sicuri di diffondere un codice sicuro". Quindi, secondo il modello SSDF del NIST, ho detto: "Se vai da un cliente e dici: 'Cliente X, potrei avere una settimana in più per poter produrre un software sicuro?' Diranno sempre: "Sì". Non c'è cliente che non lo faccia. Torno sempre ai fondamenti dell'essere effettivamente aperti, dell'essere comunicativi.

La parola con cui siamo sempre conosciuti, "il Grande Fratello sta guardando": i poliziotti. Ma non lo siamo. In realtà non lo siamo. E se prendi una strada diversa, allora è come: "Senti, okay, non sarà questo sprint, sarà il prossimo. Sembra perfetto". È probabile che abbiano bisogno dell'approvazione del loro Chief Product Officer che deve essere d'accordo, ma almeno ora si sta costruendo una comunità e si sta costruendo un motivo per cui lo stiamo facendo invece di "Oh, la sicurezza ci sta costringendo a fare qualcosa".

Clarke Rodgers (05:23):
Fantastico. In qualità di CISO, hai il compito di proteggere l'organizzazione e di inserire tutti i diversi programmi e meccanismi di sicurezza per rendere il più sicuro possibile lo svolgimento delle attività aziendali. Ma hai anche il compito di consentire all'azienda di innovare, giusto? Come fai a bilanciare le due cose?

Aman Sirohi (05:43):
È molto delicato. Quando sei una startup, la velocità è tutto, la scalabilità è tutto. Le richieste dei clienti lo sono anche... hai un prodotto, hai delle capacità e il cliente X vuole questo, il cliente Y vuole quello. Quindi, si torna alla roadmap del prodotto. Se sei un CISO o ricopri altre posizioni relative alla sicurezza, devi assolutamente partecipare quando si sta parlando della roadmap del prodotto.

Siediti con lo staff elettronico, parla di come sarà il prossimo trimestre o il prossimo anno e fa' parte di quelle conversazioni. È lì che penso si ottenga effettivamente quell'innovazione e, se si fa un ulteriore passo indietro, come CISO, potresti imparare qualcosa che devi cambiare dal punto di vista della sicurezza perché quando arrivano le innovazioni devi renderle più semplici. Quindi, ovviamente qualcuno dice: "Oh, l’MFA". E io dico: "No. Questo non è negoziabile". Tutti devono averlo. Sta per succedere, giusto? Ma ci sono modi in cui, in qualità di professionisti della sicurezza, possiamo semplificare le cose per gli sviluppatori, in modo che non debbano effettivamente fare troppa fatica per portare a termine il loro lavoro.

Clarke Rodgers (06:48):
È molto, molto bello. Molti CISO sono, non dirò, impegnativi, ma hanno personale di sicurezza limitato all'interno dell'organizzazione e cercano sempre di trovare modi per aumentare le prestazioni e l'influenza che il team di sicurezza ha sulle parti dell'organizzazione non legate alla sicurezza. Quindi sviluppatori, team di assistenza, forse contabilità, forse finanza, risorse umane, qualunque sia il caso. Come pensi a questo e come posizioni la cultura della sicurezza nella tua organizzazione per garantire davvero che la sicurezza sia compito di tutti?

Aman Sirohi (07:27):
È dura. Non è facile perché il marketing vuole qualcosa di diverso. La finanza vuole qualcosa di diverso. Gli addetti alle vendite che viaggiano, in paesi diversi, stati diversi, vogliono facilità di business.

Soprattutto in tempi economici come quelli odierni, abbiamo meno persone, meno fondi o meno soldi, ma la nostra responsabilità non è cambiata. Quindi, se la nostra responsabilità non è cambiata, dobbiamo fondamentalmente trovare modi creativi per far sì che ciò accada. Quindi uno dei modi che penso sia stato davvero significativo per la mia azienda precedente e per questa azienda è quando i membri del tuo team si incontrano con un gruppo di pari o organizzazioni sulla sicurezza in anticipo, ancora una volta, tornando alla formazione, alla comunicazione, non vado. In realtà non ci vado perché non voglio che pensino, "Oh, il CSO è qui", o...

Clarke Rodgers (08:16):
Interessante.

Aman Sirohi (08:16):
"La leadership è qui e dobbiamo ascoltare la leadership". Lascio che i membri del nostro team comunichino, costruiscano e promuovano quelle relazioni. Perché poi parlano con i loro pari, parlano con i loro colleghi. Quindi, quando inizi effettivamente un’implementazione del genere in tutta l'azienda, in realtà è più semplice perché hai effettivamente fatto quello che dovevi fare.

Clarke Rodgers (08:37):
Ti sei creato degli alleati.

Aman Sirohi (08:38):
Ti sei creato degli alleati senza che tu fossi lì. Perché se i responsabili della sicurezza o il leader sono lì, c'è un tono completamente diverso, un modo di parlare completamente diverso, una conversazione completamente diversa. "Il mio capo è qui, quindi dobbiamo parlarne. Devo ascoltare". Penso invece che dobbiamo consentire agli altri di fare la stessa cosa. È davvero difficile, ma credo che sia necessario costruire quell'ecosistema, fare in modo che i singoli membri del team siano in grado di portare il testimone e diventare il professionista della sicurezza per tutti.

Clarke Rodgers (09:08):
Fantastico. Quindi, all'interno del tuo team di sicurezza vero e proprio, che tipo di competenze, caratteristiche o background cerchi quando assumi qualcuno?

Aman Sirohi (09:20):
La caratteristica numero uno è la curiosità e non posso insegnarti a essere curioso.

Clarke Rodgers (09:25):
Interessante.

Aman Sirohi (09:25):
Posso insegnarti la sicurezza. Posso organizzare una formazione per X, Y, Z. Posso darti i programmi di studio di un'università, ma non posso insegnarti a essere curioso. E la sicurezza, siamo tutti d'accordo, non è la stessa tutti i giorni. Sta cambiando giorno per giorno. Quindi, quando hai una mente curiosa, sei in grado di adattarti a risposte diverse. Un giorno ti ritroverai davanti a una vulnerabilità che dice X, domani non sarà X, sarà Y. E se sei abbastanza curioso e dici: "Ok, fammi vedere cosa succede se faccio clic su questo pulsante", e lo fai, per me, questa è la ragione numero uno.

Quindi, quando assumo le persone utilizzo un test molto interessante. Do loro tre parole: affamato, umile e intelligente e chiedo di classificarsi in base all’aggettivo che viene prima per loro. Poi sta a me capire che tipo di dinamiche seguite. Perché se avessi un'intera squadra di persone intelligenti, fossimo tutti lì, tutte persone intelligenti in una stanza, non si farebbe niente perché tutti pensano di essere più intelligenti degli altri, no? E se avessimo solo persone umili, senza offesa, ma la sicurezza finirebbe perché penseremmo: "Ah, ok. Non oggi? Lo faremo domani. Non domani? Lo faremo dopo". E se ci sono persone affamate, e se la caratteristica principale di tutti è questa, non puoi promuovere tutti ogni volta.

Quindi, quando facciamo i colloqui, ci sediamo e la prima cosa che dico è: "Bene, dimostratemi che siete affamati, umili e intelligenti. Cosa pensate che fossero?" In questo modo puoi costruire la giusta equazione di una squadra. Vuoi assicurarti che il team sia ben bilanciato e, a seconda del tuo ecosistema, che tu appartenga al settore finanziario, vendite, SaaS o cripto, potresti aver bisogno che alcune caratteristiche siano preponderanti. In alcuni settori, potrebbe essere invece necessario il contrario Quindi è così che vedo la creazione o l'assunzione di un team all'interno della mia organizzazione di sicurezza.

Clarke Rodgers (11:18):
Sembra che la diversità della squadra qui sia l'elemento chiave.

Aman Sirohi (11:23):
Lo è, assolutamente. Ho un membro del team in Canada. Ho un membro del team sulla costa orientale. Ho un membro del team a livello internazionale. Mi piacerebbe che fossero tutti nella Bay Area o nello stesso ufficio? Sì, ma chiaramente non è fattibile. Penso che il COVID ci abbia insegnato tutto questo e penso che la diversità, quell'esperienza, quella curiosità arrivino solo quando trovi persone con una mentalità diversa.

Clarke Rodgers (11:45):
È fantastico da sentire. Gli strumenti di IA generativa sono stati diffusi negli ultimi tempi. Cosa ne pensi dal punto di vista della sicurezza visto che sempre più persone, e presumo anche le aziende, stanno sfruttando alcuni di questi strumenti?

Aman Sirohi (12:04):
Penso che questa sarà un'innovazione per cui non siamo pronti. Ci sarà molta innovazione e avremo bisogno di molta sicurezza a causa della velocità con cui gli strumenti vengono innovati e rilasciati.

Crescita su larga scala, strumenti open source e l'elenco potrebbe continuare. Penso che ciò che aumenterà abbastanza rapidamente sarà il rischio dell'IA. Qual è questa esposizione al rischio per la tua azienda, per i tuoi clienti?

Ogni contratto di cui sono a conoscenza afferma che i dati di terze parti non possono uscire dal tuo ambiente e passare a un’origine di terze parti. Ora, che si tratti del modello di intelligenza artificiale che desideri utilizzare, quei dati stanno uscendo dal tuo ambiente, vengono indirizzati a un’origine di terze parti e tornano indietro per darti una risposta. Quindi, penso che ci saranno numerosi cambiamenti nel modo in cui la situazione viene vista dal punto di vista legale, nel modo in cui il cliente e l'azienda si assumono i rischi. Penso che ci sarà molta innovazione nel settore.

Clarke Rodgers (13:08):
È il rischio legato alla "scatola nera" di questi servizi o cos’altro preoccupa nello specifico?

Aman Sirohi (13:17):
Direi entrambe. Voglio dire, penso che sia una scatola nera perché non sappiamo quello che non sappiamo, no?

Clarke Rodgers (13:22):
Certo.

Aman Sirohi (13:23):
Una cosa interessante su cui probabilmente siamo d'accordo è che una volta che gli insegni qualcosa, non puoi semplicemente tornare indietro ed eliminare tutti i nuovi concetti, no? Tornare indietro e toglierlo dal modello è un processo molto costoso. Quindi questo è un trucco con cui dovrai fare i conti perché avrai delle informazioni sbagliate e rovinerai l'equilibrio e non potrai non affrontarlo.

Penso che il rischio arriverà in termini di dove le aziende si preoccuperanno dei dati che forniscono a questo strumento di intelligenza artificiale. Ora, quello strumento di intelligenza artificiale è pubblico? Avremo tutti l'IA a casa nostra? Penso che tutto debba essere organizzato.

E questo processo andrà a una velocità per la quale non siamo preparati. Qual è il rischio che ne deriva dal punto di vista aziendale? Una cosa che dirò è che, dal punto di vista normativo, non ne ho idea. Succederà e basta... non so nemmeno come riusciranno a risolverlo le normative, perché si deve trovare un modo per mettere delle barriere. Altrimenti, sarà gratuito per tutti.

Clarke Rodgers (14:27):
Quindi, fondamentalmente, la leadership deve comprendere i rischi che correrà se intende accettare di utilizzare questi strumenti come parte del business.

Aman Sirohi (14:35):
Sì, e come si fa a controllare qualcuno che lavora in un altro reparto che scarica uno di questi strumenti e inizia a fornirgli informazioni? Dove vanno queste informazioni? Oggi esiste uno strumento che ci avvisa che sono state fornite queste informazioni a questo modello di intelligenza artificiale che viola la politica?

Clarke Rodgers (14:55):
Beh, forse c'è un'opportunità di inserire la sicurezza qui?

Aman Sirohi (14:58):
Sì, in realtà penso che ci saranno diverse opportunità di sicurezza. Penso che sarà ottimo anche per l'ambiente.

Clarke Rodgers (15:05):
Seguendo la stessa linea di pensiero, se dovessimo avere questa conversazione tra cinque anni, di cosa parleremmo?

Aman Sirohi (15:13):
Penso che parleremo di come tutto il nostro lavoro banale e faticoso di oggi verrà effettivamente svolto al nostro posto. Di recente ho letto un articolo in cui qualcuno si è rivolto a uno di questi strumenti e ha detto: "Sto programmando un viaggio in una regione vinicola. Deve essere adatto ai bambini. Deve avere questo budget e X, Y e Z". Lo strumento ha svolto tutti i compiti, ha trovato un posto con le bocce, ha inviato un'e-mail, l'ha prenotato, l'ha messo in calendario.

Prima c'era qualcuno che chiamava le diverse cantine, le cercava su Google o usava una sorta di motore di ricerca per cercare di capire qualcosa, ma in futuro sarà fatto tutto così. Quindi penso che sarà davvero interessante per noi vedere tra cinque anni su cosa ci staremo concentrando. Penso che saranno gli umani a interpretare questi dati, quindi non saranno solo automatizzati e gratuiti per tutti. Penso che ci dovrà sempre essere un po' di interazione umana in ogni fase critica per assicurarci che non vada sulla strada sbagliata.

Clarke Rodgers (16:19):
Come imposterai quella conversazione con il consiglio di amministrazione? Come pensi che sarà?

Aman Sirohi (16:24):
Abbiamo già iniziato a parlarne internamente. Abbiamo delle politiche. Abbiamo dei principi. Non sarà facile. E ci vorrà un po' di tempo. Non ho una risposta valida, per essere molto trasparente al riguardo, ma penso che sia qui che dovremmo avere più conversazioni. Dovremmo avere la mentalità dei CISO, che chiedono... "Come state affrontando questo problema? Come intendete regolamentare questa situazione?". Credo che più ne parliamo, più sarà più facile per noi proteggerci a vicenda e tenere a bada gli avversari, perché anche gli avversari useranno questi stessi strumenti.

Clarke Rodgers (16:57):
È un'opportunità per tutti.

Aman Sirohi (16:58):
Esattamente.

Clarke Rodgers (17:00):
Quindi, per concludere, hai qualche consiglio per i tuoi colleghi CISO?

Aman Sirohi (17:03):
Oh, mi piacerebbe ricevere consigli da loro. Direi che l'unica cosa che ho imparato, anche dal mio gruppo di colleghi, è che bisogna avvicinarsi alla propria azienda. Si deve partecipare a quella conversazione con il CFO, con il CRO, con il Chief Product Officer, Chief Strategy Officer. Bisogna stargli più vicino, perché è questo che ti aiuterà a capire cosa sta spostando i profitti, cosa protegge l'azienda.

Quindi, se riesci a parlare e a far sì che le tue capacità li aiutino a raggiungere i loro obiettivi, più clienti otterrai. Quando chiedi dei finanziamenti, le persone capiscono perché li stai chiedendo. Quindi, penso che il mio consiglio sia quello di avvicinarsi a quel gruppo di persone, comprendere il loro business e cosa li spinge, per facilitare il percorso di un CISO.

Clarke Rodgers (17:55):
Mi sembra un ottimo consiglio.

Aman Sirohi (17:57):
Continuo a farlo. Non lo so. Alcuni giorni ho successo e altri no, quindi vedremo.

Clarke Rodgers (18:03):
Complimenti! Bene, Aman, grazie mille per il tempo che ci hai dedicato oggi.

Aman Sirohi (18:05):
Te ne siamo grati. Grazie mille.