A evolução da liderança em segurança na diretoria executiva

Clarke Rodgers (00:09):
Chris, muito obrigado pela sua participação.

Chris Rothe (00:11):
De nada, e obrigado por me receber.

Clarke Rodgers (00:13):
Por gentileza, conte-me um pouco sobre a sua formação e sua função na Red Canary.

Chris Rothe (00:17):
Sou CTO e cofundador da Red Canary. Atuamos no campo de detecção e resposta. Antes de fundar a empresa, trabalhei no processamento de dados de satélite, que consiste em “coletar vários dados e aplicar algoritmos interessantes”. As coisas interessantes são então colocadas na frente dos analistas para eles tomarem decisões, o que, aliás, é muito semelhante ao que fazemos no campo de segurança cibernética.

Clarke Rodgers (00:39):
Como você já está no setor de segurança cibernética há algum tempo, costumamos dizer de brincadeira que o CISO que antes ficava no porão agora está na sala de reuniões. Como você tem visto isso evoluir?

Chris Rothe (00:49):
O mais importante, na minha opinião, é que ela deixou de ser uma função técnica para se tornar muito mais política, fundamental para defender a segurança em toda a organização e incorporá-la à cultura. Além disso, para pessoas como nós que têm plataformas de SaaS, é também uma função muito voltada para os clientes, garantindo que eles confiem que estamos protegendo seus dados.  

Clarke Rodgers (01:16):
Ao conversar com os clientes em sua função, como você articula o valor comercial da segurança?

Chris Rothe (01:21):
No final das contas, risco comercial tem tudo a ver com risco financeiro. Isso assume formas diferentes, dependendo do setor em que você atua. Se você trabalha com serviços financeiros, o importante é a sua reputação e garantir que as pessoas confiem o dinheiro delas a você. Se você trabalha com manufatura, saúde ou algo parecido, é um risco operacional garantir que suas máquinas continuem funcionando e que as pessoas permaneçam vivas no cenário da saúde.

E é disso que se trata: se você consegue chegar ao ponto de falar sobre dinheiro e, em seguida, sobre como realmente reduzir o risco por dólar, essas conversas podem ser um sucesso enorme.

Às vezes, não é sobre isso que as pessoas querem falar. Elas querem falar sobre os aspectos técnicos e como você pode ajudá-las a reduzir o número de incidentes de segurança e coisas do tipo em nosso mundo. E isso também é ótimo. No final das contas, em algum ponto, tudo isso está relacionado a dólares e centavos.

Clarke Rodgers (02:06):
Internamente, na Red Canary, como você aumenta a eficácia da equipe de segurança e garante que aquele desenvolvedor solitário se preocupe com a segurança e reflita sobre ela em seu dia a dia?

Chris Rothe (02:22):
Isso é extremamente importante para nós. Como empresa de segurança, seguimos um padrão mais alto. Portanto, é importante que todos na empresa se preocupem com a segurança dos nossos negócios e dos negócios dos nossos clientes. Algumas das coisas que temos feito ao longo dos anos para garantir que a segurança seja parte integrante da função de todos é integrar especialistas em segurança de produtos que fazem parte de cada equipe scrum no nosso ciclo de vida de desenvolvimento de software. Eles estão na parte do planejamento de sprints e também na parte do planejamento inicial. Não é nada do tipo: “Ei, vamos montar um design e depois perguntar à equipe de segurança se está tudo bem.” Eles estão presentes ao longo de todo o caminho. Essa é uma parte realmente fundamental.

A segunda coisa que temos feito é garantir que as verificações de segurança e as análises estáticas, ou qualquer outra atividade planejada, sejam nativas do local onde os desenvolvedores vivem. A segurança está integrada ao pipeline de CICD. Não precisamos pensar duas vezes. Você só precisa fazer com que tudo seja aprovado antes de fazer merge do código. E isso meio que atende aos desenvolvedores onde eles estão e, na maioria das vezes, não chega a ser significativo.

Clarke Rodgers (03:17):
A dificuldade de encontrar talentos na área de segurança é praticamente um consenso. Você precisa contratá-los e retê-los ou treiná-los. Quais são algumas das estratégias que você usou na Red Canary para sustentar a força dos seus profissionais de segurança?

Chris Rothe (03:31):
Nosso objetivo é que os profissionais de segurança da nossa equipe não tenham que fazer apenas trabalhos pesados e repetitivos “indiferenciados”, para usar um termo da AWS.

Clarke Rodgers (03:40):
Claro.

Chris Rothe (03:40):
Eles não precisam fazer isso por mais de 60% do dia. Se estão ultrapassando esses 60%, este é o limite mágico em que começam a ficar entediados com a natureza repetitiva desse trabalho. Fazemos isso por meio de ferramentas e desenvolvendo automações que eles possam usar, procurando padrões repetidos e construindo ferramentas (seja por meio de ML ou IA) para fazer esse trabalho pesado indiferenciado, para que eles possam se concentrar em coisas mais interessantes.

Clarke Rodgers (04:09):
Você mencionou ferramentas e automação. A IA generativa está na moda, certo? O que você acha disso, tanto como profissional de segurança, ou seja, “Como vou gerenciar os riscos de usá-la?”, mas também como proprietário de uma empresa e analisando as vantagens que ela pode trazer para você? Poderia falar um pouco sobre isso?

Chris Rothe (04:31):
Do ponto de vista dos riscos, acho que o ponto de partida da nossa jornada foi: “Vamos garantir que tenhamos as proteções certas para não usarmos conteúdo criado por uma IA da qual não temos certeza de quem é o proprietário”. Então, colocamos algumas barreiras de proteção para lidar com isso.

Porém, de um modo geral, queremos que todos na equipe da Red Canary usem a IA generativa de uma maneira que faça sentido para suas funções. Quer você seja um vendedor, acabou de ter uma ótima ligação com um cliente e precisa elaborar um e-mail de acompanhamento, vamos tornar isso mais rápido e melhorar a qualidade dessa comunicação. No final das contas, isso é melhor para o cliente e melhor para você, porque você demorou cinco minutos em vez de talvez uma hora. Essa tem sido a nossa abordagem: garantir que todos possam usá-la de maneira segura.

Mas acho que ainda estamos no início em termos de aprender "Quais são as armadilhas?" e "Quais são os desafios associados e que tipos de questões jurídicas surgirão nos próximos anos em relação à IA generativa?" Em termos de como a estamos usando especificamente na área de segurança, somos realmente fãs da ideia ou estrutura de copiloto.

Durante anos, pensamos em nossa plataforma de segurança como... É uma analogia meio boba: é como o traje do “MechWarrior”, em que podemos colocar um soldado relativamente normal nessa máquina maluca com lança-foguetes e ele pode correr mais rápido, pular mais alto e todo esse tipo de coisa. E a IA generativa nos fornece algumas novas ferramentas excelentes para levar isso ainda mais longe e descobrir como podemos tornar esse processo de investigação mais rápido, mais completo e mais preciso, para que, no final das contas, possamos encontrar e impedir ameaças mais cedo.

Essas são algumas das aplicações que estamos analisando. O grande desafio da segurança, em última análise, é que não há pessoas suficientes para esse trabalho. E é por isso que é tão importante o trabalho que a AWS está fazendo em termos de tornar a plataforma e os serviços mais seguros, centímetro por centímetro e quilômetro por quilômetro. Fora desse mundo, é importante aproveitarmos os recursos bastante escassos que temos em termos de profissionais de segurança e não os esgotarmos em trabalhos árduos. É importante dar a eles ferramentas que lhes permitam fazer grandes coisas.

Clarke Rodgers (06:42):
Na mesma linha, você fala com muitos clientes, e muitos deles usam mais de uma nuvem. Como você os aconselha sobre os aspectos de segurança e os desafios que podem surgir ao proteger várias nuvens?

Chris Rothe (06:58):
De um modo geral, tentamos promover uma agenda de “Vamos garantir que você tenha o mesmo conjunto de controles e a mesma compreensão dos dados e do acesso em qualquer plataforma que esteja usando, seja na nuvem ou on-premises”. Essa é uma espécie de camada básica. Vamos garantir que sabemos quem tem acesso, ao que essas pessoas têm acesso e como saber se algo ruim aconteceu.

Clarke Rodgers (07:21):
E imagino que seus resultados de segurança devam ser os mesmos no que diz respeito ao que eles estão definindo?

Chris Rothe (07:25):
Com certeza. E, se você não conseguir chegar a esse resultado com uma plataforma de nuvem específica ou outra coisa, talvez vale a pena desafiá-la e considerar se deveríamos usá-la ou não. Se a segurança não é fundamental e não é possível da maneira que deveria ser para esse tipo de conjunto básico de controles, por que ela está na sua arquitetura?

E essas são conversas difíceis porque as pessoas investem muito em sua estratégia associada à multinuvem. Mas acho que, no final das contas, o ponto de partida é garantir que entendamos quais controles precisam ser implementados e como vamos acabar encontrando o vilão. Se você não consegue responder a isso, precisamos repensar nossa arquitetura ou estratégia.

Clarke Rodgers (08:07):
È uma ótima perspectiva. Chris, muito obrigado pelo tempo hoje comigo.

Chris Rothe (08:12):
Obrigado por me receber. Muito obrigado.