A evolução da liderança em segurança na diretoria executiva
Uma conversa com Chris Rothe, cofundador e CTO da Red Canary
A segurança tornou-se uma prioridade estratégica para quase todas as organizações hoje. Porém, isso nem sempre foi assim. Nessa entrevista de Líderes de segurança, conversamos com Chris Rothe, cofundador e CTO da Red Canary, para conhecer sua perspectiva sobre como a liderança em segurança evoluiu nos últimos anos.
Ouça a conversa de Chris com Clarke Rodgers, diretor de estratégias empresariais da AWS, na qual ele compartilha suas ideias sobre vários temas, desde a função da segurança na diretoria executiva até a contratação de talentos em segurança e o uso seguro da IA generativa na empresa.
Conheça Chris Rothe, cofundador e CTO da Red Canary
Clarke Rodgers (00:09):
Chris, muito obrigado pela sua participação.
Chris Rothe (00:11):
De nada, e obrigado por me receber.
Clarke Rodgers (00:13):
Por gentileza, conte-me um pouco sobre a sua formação e sua função na Red Canary.
Chris Rothe (00:17):
Sou CTO e cofundador da Red Canary. Atuamos no campo de detecção e resposta. Antes de fundar a empresa, trabalhei no processamento de dados de satélite, que consiste em “coletar vários dados e aplicar algoritmos interessantes”. As coisas interessantes são então colocadas na frente dos analistas para eles tomarem decisões, o que, aliás, é muito semelhante ao que fazemos no campo de segurança cibernética.
Clarke Rodgers (00:39):
Como você já está no setor de segurança cibernética há algum tempo, costumamos dizer de brincadeira que o CISO que antes ficava no porão agora está na sala de reuniões. Como você tem visto isso evoluir?
Chris Rothe (00:49):
O mais importante, na minha opinião, é que ela deixou de ser uma função técnica para se tornar muito mais política, fundamental para defender a segurança em toda a organização e incorporá-la à cultura. Além disso, para pessoas como nós que têm plataformas de SaaS, é também uma função muito voltada para os clientes, garantindo que eles confiem que estamos protegendo seus dados.
Definição do valor comercial da segurança
Clarke Rodgers (01:16):
Ao conversar com os clientes em sua função, como você articula o valor comercial da segurança?
Chris Rothe (01:21):
No final das contas, risco comercial tem tudo a ver com risco financeiro. Isso assume formas diferentes, dependendo do setor em que você atua. Se você trabalha com serviços financeiros, o importante é a sua reputação e garantir que as pessoas confiem o dinheiro delas a você. Se você trabalha com manufatura, saúde ou algo parecido, é um risco operacional garantir que suas máquinas continuem funcionando e que as pessoas permaneçam vivas no cenário da saúde.
E é disso que se trata: se você consegue chegar ao ponto de falar sobre dinheiro e, em seguida, sobre como realmente reduzir o risco por dólar, essas conversas podem ser um sucesso enorme.
Às vezes, não é sobre isso que as pessoas querem falar. Elas querem falar sobre os aspectos técnicos e como você pode ajudá-las a reduzir o número de incidentes de segurança e coisas do tipo em nosso mundo. E isso também é ótimo. No final das contas, em algum ponto, tudo isso está relacionado a dólares e centavos.
Clarke Rodgers (02:06):
Internamente, na Red Canary, como você aumenta a eficácia da equipe de segurança e garante que aquele desenvolvedor solitário se preocupe com a segurança e reflita sobre ela em seu dia a dia?
Contratação, treinamento e consolidação de uma cultura de segurança na Red Canary
Chris Rothe (02:22):
Isso é extremamente importante para nós. Como empresa de segurança, seguimos um padrão mais alto. Portanto, é importante que todos na empresa se preocupem com a segurança dos nossos negócios e dos negócios dos nossos clientes. Algumas das coisas que temos feito ao longo dos anos para garantir que a segurança seja parte integrante da função de todos é integrar especialistas em segurança de produtos que fazem parte de cada equipe scrum no nosso ciclo de vida de desenvolvimento de software. Eles estão na parte do planejamento de sprints e também na parte do planejamento inicial. Não é nada do tipo: “Ei, vamos montar um design e depois perguntar à equipe de segurança se está tudo bem.” Eles estão presentes ao longo de todo o caminho. Essa é uma parte realmente fundamental.
A segunda coisa que temos feito é garantir que as verificações de segurança e as análises estáticas, ou qualquer outra atividade planejada, sejam nativas do local onde os desenvolvedores vivem. A segurança está integrada ao pipeline de CICD. Não precisamos pensar duas vezes. Você só precisa fazer com que tudo seja aprovado antes de fazer merge do código. E isso meio que atende aos desenvolvedores onde eles estão e, na maioria das vezes, não chega a ser significativo.
Clarke Rodgers (03:17):
A dificuldade de encontrar talentos na área de segurança é praticamente um consenso. Você precisa contratá-los e retê-los ou treiná-los. Quais são algumas das estratégias que você usou na Red Canary para sustentar a força dos seus profissionais de segurança?
Chris Rothe (03:31):
Nosso objetivo é que os profissionais de segurança da nossa equipe não tenham que fazer apenas trabalhos pesados e repetitivos “indiferenciados”, para usar um termo da AWS.
Clarke Rodgers (03:40):
Claro.
Chris Rothe (03:40):
Eles não precisam fazer isso por mais de 60% do dia. Se estão ultrapassando esses 60%, este é o limite mágico em que começam a ficar entediados com a natureza repetitiva desse trabalho. Fazemos isso por meio de ferramentas e desenvolvendo automações que eles possam usar, procurando padrões repetidos e construindo ferramentas (seja por meio de ML ou IA) para fazer esse trabalho pesado indiferenciado, para que eles possam se concentrar em coisas mais interessantes.
Como aproveitar a IA generativa e, ao mesmo tempo, minimizar os riscos de segurança
Clarke Rodgers (04:09):
Você mencionou ferramentas e automação. A IA generativa está na moda, certo? O que você acha disso, tanto como profissional de segurança, ou seja, “Como vou gerenciar os riscos de usá-la?”, mas também como proprietário de uma empresa e analisando as vantagens que ela pode trazer para você? Poderia falar um pouco sobre isso?
Chris Rothe (04:31):
Do ponto de vista dos riscos, acho que o ponto de partida da nossa jornada foi: “Vamos garantir que tenhamos as proteções certas para não usarmos conteúdo criado por uma IA da qual não temos certeza de quem é o proprietário”. Então, colocamos algumas barreiras de proteção para lidar com isso.
Porém, de um modo geral, queremos que todos na equipe da Red Canary usem a IA generativa de uma maneira que faça sentido para suas funções. Quer você seja um vendedor, acabou de ter uma ótima ligação com um cliente e precisa elaborar um e-mail de acompanhamento, vamos tornar isso mais rápido e melhorar a qualidade dessa comunicação. No final das contas, isso é melhor para o cliente e melhor para você, porque você demorou cinco minutos em vez de talvez uma hora. Essa tem sido a nossa abordagem: garantir que todos possam usá-la de maneira segura.
Mas acho que ainda estamos no início em termos de aprender "Quais são as armadilhas?" e "Quais são os desafios associados e que tipos de questões jurídicas surgirão nos próximos anos em relação à IA generativa?" Em termos de como a estamos usando especificamente na área de segurança, somos realmente fãs da ideia ou estrutura de copiloto.
Durante anos, pensamos em nossa plataforma de segurança como... É uma analogia meio boba: é como o traje do “MechWarrior”, em que podemos colocar um soldado relativamente normal nessa máquina maluca com lança-foguetes e ele pode correr mais rápido, pular mais alto e todo esse tipo de coisa. E a IA generativa nos fornece algumas novas ferramentas excelentes para levar isso ainda mais longe e descobrir como podemos tornar esse processo de investigação mais rápido, mais completo e mais preciso, para que, no final das contas, possamos encontrar e impedir ameaças mais cedo.
Essas são algumas das aplicações que estamos analisando. O grande desafio da segurança, em última análise, é que não há pessoas suficientes para esse trabalho. E é por isso que é tão importante o trabalho que a AWS está fazendo em termos de tornar a plataforma e os serviços mais seguros, centímetro por centímetro e quilômetro por quilômetro. Fora desse mundo, é importante aproveitarmos os recursos bastante escassos que temos em termos de profissionais de segurança e não os esgotarmos em trabalhos árduos. É importante dar a eles ferramentas que lhes permitam fazer grandes coisas.
Considerações de segurança ao usar a multinuvem
Clarke Rodgers (06:42):
Na mesma linha, você fala com muitos clientes, e muitos deles usam mais de uma nuvem. Como você os aconselha sobre os aspectos de segurança e os desafios que podem surgir ao proteger várias nuvens?
Chris Rothe (06:58):
De um modo geral, tentamos promover uma agenda de “Vamos garantir que você tenha o mesmo conjunto de controles e a mesma compreensão dos dados e do acesso em qualquer plataforma que esteja usando, seja na nuvem ou on-premises”. Essa é uma espécie de camada básica. Vamos garantir que sabemos quem tem acesso, ao que essas pessoas têm acesso e como saber se algo ruim aconteceu.
Clarke Rodgers (07:21):
E imagino que seus resultados de segurança devam ser os mesmos no que diz respeito ao que eles estão definindo?
Chris Rothe (07:25):
Com certeza. E, se você não conseguir chegar a esse resultado com uma plataforma de nuvem específica ou outra coisa, talvez vale a pena desafiá-la e considerar se deveríamos usá-la ou não. Se a segurança não é fundamental e não é possível da maneira que deveria ser para esse tipo de conjunto básico de controles, por que ela está na sua arquitetura?
E essas são conversas difíceis porque as pessoas investem muito em sua estratégia associada à multinuvem. Mas acho que, no final das contas, o ponto de partida é garantir que entendamos quais controles precisam ser implementados e como vamos acabar encontrando o vilão. Se você não consegue responder a isso, precisamos repensar nossa arquitetura ou estratégia.
Clarke Rodgers (08:07):
È uma ótima perspectiva. Chris, muito obrigado pelo tempo hoje comigo.
Chris Rothe (08:12):
Obrigado por me receber. Muito obrigado.
Chris Rothe
Cofundador e CTO da Red Canary
Chris foi cofundador da Red Canary em 2014, lidera a estratégia técnica e construiu muitas das ferramentas e equipes que a Red Canary utiliza hoje em dia para adquirir clientes e prestar serviços a eles. Antes de cofundar a Red Canary, Chris liderou equipes de desenvolvimento de software e arquitetou grandes sistemas de processamento de dados para a comunidade de defesa e inteligência.
Clarke Rodgers
Diretor de estratégia empresarial da AWS
Como um diretor de estratégia empresarial da AWS altamente especializado em segurança, Clarke se dedica a ajudar os executivos a explorar como a nuvem pode transformar a segurança e trabalhar com eles para encontrar as soluções corporativas certas. Clarke ingressou na AWS em 2016, mas sua experiência com as vantagens da segurança da AWS começou bem antes de ele se tornar parte da equipe. Em sua função de CISO para um fornecedor multinacional de seguros de vida, ele supervisionou a migração integral de uma divisão estratégica para a AWS.
Dê o próximo passo
Ouça e aprenda
Ouça os líderes executivos e os estrategistas empresariais da AWS, todos executivos experientes, debatendo as jornadas de transformação digital.
Fique conectado
O AWS Executive Connection é um destino digital para líderes de negócios e tecnologia no qual compartilhamos informações.
Assista sob demanda
Obtenha insights de outros profissionais e descubra novas formas de fortalecer a jornada de transformação digital por meio desta rede internacional exclusiva.
Inspire-se
Ouça os debates entre a AWS e líderes de clientes, as práticas recomendadas, lições e ideias transformadoras.