L'evoluzione della leadership nella sicurezza nella C-Suite

Clarke Rodgers (00:09):
Chris, grazie mille per essere con noi oggi.

Chris Rothe (00:11):
È un grande piacere, grazie per l'invito.

Clarke Rodgers (00:13):
Potresti parlarci un po' del tuo background e del tuo ruolo in Red Canary?

Chris Rothe (00:17):
Sono il CTO e cofondatore di Red Canary. Siamo impegnati nell’ambito del rilevamento e della risposta alle minacce. Prima di fondare l'azienda, ho lavorato nell'elaborazione dei dati satellitari, che consiste nel raccogliere grandi quantità di dati e applicare algoritmi interessanti. Gli elementi più significativi vengono quindi sottoposti all’attenzione degli analisti per prendere decisioni, il che tra l'altro è molto simile a ciò che facciamo nella sicurezza informatica.

Clarke Rodgers (00:39):
Dato che lavori nel settore della sicurezza informatica da parecchio tempo, spesso scherziamo dicendo che il CISO è passato dal seminterrato alla sala riunioni. Come l'hai visto evolversi?

Chris Rothe (00:49):
La cosa più importante, a mio avviso, è stato il passaggio dall'essere un ruolo tecnico a un ruolo molto meno tecnico e più politico, fondamentale per la sicurezza e per diffondere una cultura della sicurezza in tutta l'organizzazione. Inoltre, per aziende come noi che dispongono di piattaforme SaaS, rappresenta un ruolo rivolto decisamente al cliente, con il compito di infondere fiducia in merito alla protezione dei dati.  

Clarke Rodgers (01:16):
Quando parli con i clienti nelle vesti del tuo ruolo, come spieghi il valore aziendale della sicurezza?

Chris Rothe (01:21):
In fin dei conti, il rischio aziendale sta tutto nel rischio finanziario, che assume forme diverse a seconda del settore in cui si opera. Se ci si occupa di servizi finanziari, è importante la reputazione e fare in modo che le persone si sentano sicure quando affidano ad altri i loro risparmi. Se si è impegnati nel settore produttivo, nell'assistenza sanitaria o in ambiti simili, esiste un rischio operativo legato al corretto funzionamento delle macchine, o al fatto che le persone rimangano in vita.

Quindi è proprio di questo che si tratta. Se si riesce a parlare di denaro e di come ridurre effettivamente il rischio in termini finanziari, nascono conversazioni davvero efficaci.

Ma a volte non è di questo che si vuole parlare. Le persone desiderano parlare degli aspetti tecnici e di come possono ridurre il numero di incidenti relativi alla sicurezza, o di argomenti simili propri del settore. E anche questo è importante. Alla fine, però, tutti questi aspetti sono legati in qualche modo a dollari e centesimi.

Clarke Rodgers (02:06):
A livello interno in Red Canary, come cercate di aumentare l'efficienza del team di sicurezza in modo che il singolo sviluppatore si preoccupi della sicurezza quotidianamente?

Chris Rothe (02:22):
Questo punto è estremamente importante per noi. In qualità di compagnia impegnata nella sicurezza, siamo tenuti a rispettare uno standard più elevato. Quindi, è importante che tutti in azienda abbiano a cuore la sicurezza della nostra attività e delle attività dei nostri clienti. Tra le cose che abbiamo fatto nel corso degli anni per assicurarci che fosse compatibile con qualsiasi ruolo, ci siamo affidati a specialisti, che fanno parte di ogni team Scrum, che si occupano della sicurezza dei prodotti nel ciclo di vita dello sviluppo del software. Fanno parte della pianificazione dello sprint, così come della pianificazione iniziale. Non è come dire: "Ehi, mettiamo su un progetto e poi chiediamo alla sicurezza se procede bene." Sono parte del processo. Si tratta di una componente davvero fondamentale.

In secondo luogo, abbiamo fatto in modo che i controlli di sicurezza e l'analisi statica, o qualsiasi altra attività, fosse adeguata con i punti deboli evidenziati dagli sviluppatori. Questo aspetto è integrato nella pipeline CICD. Non bisogna pensarci due volte. Prima di unire il codice, è necessario controllare tutti questi elementi. In questo modo si cerca di venire incontro agli sviluppatori, cosa ritenuta spesso di poca importanza.

Clarke Rodgers (03:17):
Spesso è difficile trovare talenti nel campo della sicurezza. Bisogna quindi assumerli, tenerli o formarli. Quali sono alcune delle strategie a cui ricorrete in Red Canary per assistere i vostri professionisti della sicurezza?

Chris Rothe (03:31):
Dunque, miriamo a far sì che i professionisti della sicurezza del nostro team non debbano limitarsi a fare lavori pesanti ripetitivi, o "indifferenziati", per usare un termine AWS.

Clarke Rodgers (03:40):
Certo.

Chris Rothe (03:40):
Non devono essere impegnati per più del 60% circa della loro giornata. Se si supera il 60%, si va al di là di una specie di soglia magica oltre la quale iniziano ad annoiarsi della natura ripetitiva del lavoro. Cerchiamo quindi di sviluppare strumenti e automazione che possono utilizzare, cercando modelli ripetuti e creando, che si tratti di ML, IA, ecc., strumenti che facciano quel lavoro pesante e indifferenziato al posto loro, così da potersi concentrare su aspetti più interessanti.

Clarke Rodgers (04:09):
Hai parlato di strumenti e automazione. L'IA generativa è di gran moda in questi tempi, giusto? Cosa ne pensi, sia come professionista della sicurezza, che cerca di gestire i rischi derivanti dal suo utilizzo, ma anche come imprenditore alla ricerca dei vantaggi che può portare? Potresti parlarcene un po'?

Chris Rothe (04:31):
Dal punto di vista del rischio, penso che il punto di partenza del nostro percorso sia stato assicurarci di disporre delle giuste protezioni in modo da non utilizzare contenuti creati da un'IA di cui non è chiaro chi sia il proprietario. Abbiamo quindi messo in atto alcuni guardrail per far fronte a questo problema.

Ma in generale, vogliamo che tutti i membri del team di Red Canary utilizzino l'IA generativa in un modo coerente ai rispettivi ruoli. Se sei un addetto alle vendite, hai appena avuto un'ottima telefonata con un cliente e hai bisogno di preparare un'e-mail di follow-up, velocizziamo il processo e miglioriamo la qualità della comunicazione. Perché, in fin dei conti, è la cosa migliore per il cliente e per te, perché ci sono voluti cinque minuti invece di, forse, un'ora. Il nostro approccio è stato questo: assicurarci che tutti possano utilizzarla in modo sicuro.

Penso però che siamo all'inizio in termini di apprendimento. Non sappiamo quali sono le insidie, quali sono le sfide che ne conseguiranno e che tipo di questioni legali emergeranno nei prossimi anni in merito all'IA generativa. Per quanto riguarda l'utilizzo specifico per la sicurezza, il costrutto o l'idea del copilota ci piace davvero molto.

Per anni abbiamo pensato alla nostra piattaforma di sicurezza come... Questa è un'analogia un po' bizzarra, ma una specie di tuta da guerriero mech, in cui possiamo mettere un soldato sostanzialmente normale in questa macchina pazzesca con lanciarazzi e con cui può correre più veloce e saltare più in alto, e tutto il resto. E l'IA generativa ci offre alcuni nuovi fantastici strumenti per andare ancora oltre e capire, come possiamo rendere il processo di analisi più veloce, completo e accurato, in modo da trovare e bloccare le minacce più rapidamente.

Queste sono alcune delle applicazioni che stiamo prendendo in considerazione. La grande sfida della sicurezza, in definitiva, è che non c'è abbastanza personale per tutti. Ecco perché è così importante il lavoro svolto da AWS nel rendere la piattaforma e i servizi più sicuri, centimetro dopo centimetro, chilometro dopo chilometro. E poi, al di fuori di questo settore, è importante sfruttare le risorse piuttosto scarse di cui disponiamo in termini di professionisti della sicurezza e non sprecarle con la fatica. Offrire strumenti che consentano loro di fare grandi cose.

Clarke Rodgers (06:42):
Allo stesso tempo, comunicate con molti clienti, e molti di questi clienti utilizzano più di un cloud. Cosa consigliate loro in merito agli aspetti della sicurezza e alle sfide che potrebbero derivare dalla protezione di più cloud?

Chris Rothe (06:58):
In generale, cerchiamo di promuovere l'ordine del giorno: assicurarsi di avere lo stesso set di controlli e la stessa comprensione dei dati e degli accessi su qualsiasi piattaforma l'utente stia utilizzando, sia essa cloud, sia on-premise. È una specie di livello di base. Cerchiamo di sapere chi ha accesso, a cosa ha accesso e come possiamo sapere se sta succedendo qualcosa di anomalo.

Clarke Rodgers (07:21):
E immagino che i loro risultati in ambito di sicurezza siano gli stessi, in termini di definizione?

Chris Rothe (07:25):
Esattamente. E se non riesci a raggiungere questo risultato con una particolare piattaforma cloud o simile, forse è il momento di metterla in discussione e considerare se utilizzarla o meno. Se la sicurezza non è fondamentale e non è possibile riprodurla in modo adeguato per un tipo di set di controlli di base, perché tenerla nella propria architettura?

E questo è un punto importante, perché le persone investono molto nella loro strategia associata al multi-cloud. Penso che alla fine il punto di partenza sia cercare di capire quali controlli devono essere messi in atto e in che modo, alla fine di tutto, scovare il cattivo. Se non si è in grado di rispondere a questa domanda, allora bisogna ripensare l'architettura o la strategia.

Clarke Rodgers (08:07):
Ottima osservazione. Chris, grazie per il tempo che ci hai dedicato oggi.

Chris Rothe (08:12):
Grazie a voi per l'invito. L'ho apprezzato molto.