Das Playbook des CISO

00:00

In Ordnung, wir schließen also die zweite Staffel von The Segment ab und befinden uns in diesem Jahr am Ende des Cybersecurity Awareness Month. Es ist toll, Neil Thacker, als letzten Gast dieser Staffel einen echten Chief Information Security Officer (CISO), CISO für EMEA, hier von Netskope zu haben. Neil, ich freue mich sehr, dass Sie heute zu uns kommen.

00:21

Nun, es ist mir eine Ehre, hier zu sein. Danke, Raghu, für die Einladung.

00:26

Es ist uns eine Freude. Es ist immer gut, einen unserer Partner bei uns zu haben. Also doppelter Dank dafür. Also, CISO, CSO (Chief Security Officer), richtig, es ist ein wirklich, ich würde sagen, hochkarätiger Titel, und heutzutage für Unternehmen jeder Größe sehr wichtig. Aber Neil, wie bist du dazu gekommen, CISO zu werden?

00:50

Nun, es war eine lange Reise. Sagen wir einfach, ich bin irgendwie im Computerzeitalter aufgewachsen, oder? Also habe ich mich als Kind mit Computern vertraut gemacht. Computer waren quasi das Neue, das in Häuser und Büros kam und solche Dinge. Also bin ich irgendwie aufgewachsen und habe mich mit dem Ganzen vertraut gemacht, wie dem Umgang mit Computern und dem Pendlerzeitalter. Und dann war eine meiner ersten Rollen, dass ich mich darum kümmerte, Menschen mit dem Internet zu verbinden. Also, meine ersten Karriereschritte waren quasi im Internetzeitalter. Damals, als wir noch DFÜ-Modems und solche Dinge hatten. Und im Laufe der Zeit kam natürlich der Sicherheitsdienst hinzu, oder? Wir mussten sicherstellen, wie wir Menschen mit Diensten usw. in Verbindung brachten, und jetzt hatten wir Mitarbeiter im Homeoffice und all diese Dinge. Also, irgendwie habe ich dieses Leben auch gelebt. Und es war wirklich, erst Mitte der 2000er Jahre, dass ich eher in die Geschäftsleitung als nur in die technische Seite wechselte. Ich habe immer noch einen technischen Hintergrund. Ja, ich bin sozusagen in die Geschäftsleitung gewechselt. Und es war wirklich ungefähr im Cloud-Zeitalter, als wir sahen, wie immer mehr Unternehmen auf die großen Hyperscale-Systeme umstiegen, ihre Rechenzentren und ihre Art, ihre Zukunft, ihre Strategie lag in der Cloud, oder? Und dann hatten wir diese explosionsartige Zunahme von SaaS, und da wurde es für mich letztendlich wieder zu einer großen Herausforderung, Unternehmen, für die ich zu der Zeit gearbeitet habe, noch etwas anderes zu entwickeln, um die Einführung der Cloud zu sichern. Und genau so, das war quasi eine meiner ersten CISO-Rollen in dieser Zeit. Und ja, ein zu sein, in dieser Zeit Erfahrung zu haben, war wirklich wichtig. Also ja, so bin ich irgendwie umgezogen und wurde CISO. Aber wenn ich auf meinen Hintergrund zurückblicke, habe ich an einem Service Desk gearbeitet und dort einige wirklich gute Fähigkeiten in Bezug auf Kommunikation und den Umgang mit Problemen und Vorfällen gelernt. Und natürlich ist es heute auch gut, das als CISO zu haben. Ich habe gewissermaßen in Rollen gearbeitet, wo es auch hier um Risiken ging. Ich arbeite für große Finanzdienstleistungsunternehmen, die sich mit Risiken befassen, als ob es bei Rückversicherungen nur um Risiken geht. Also habe ich auch in diesen Rollen für diese Organisationen gearbeitet. Also habe ich all diese Erkenntnisse in den letzten 25 Jahren übernommen. Ich verwende viele dieser Dinge immer noch täglich, die Dinge, die ich gelernt habe, Tag für Tag in meiner Rolle und erneut als CISO.

02:58

Ich liebe es, es zu hören, oder? Sie haben Ihre Karriere damit begonnen, Menschen mit dem Internet zu verbinden, und jetzt arbeiten Sie für ein Unternehmen, das sicherstellt, wie sie auf das Internet zugreifen und wie sie sicher sein können, wenn sie über das Internet auf ihre Arbeit zugreifen. Der Kreis hat sich fast geschlossen. Lassen Sie uns also über die Rolle des CISO sprechen. Ihrer Meinung nach, Ihrer Erfahrung nach, als Sie in dieser Rolle im Laufe der Jahre reifer geworden sind und sich weiterentwickelt haben, wie hat sich diese Funktion verändert und wie viel ist im Wesentlichen gleich geblieben?

03:32

Ja, ich meine, ich würde sagen, ich denke, auf jeden Fall, ich denke, die Cloud-Ära hat die Dinge definitiv verändert, oder? Davor ging es quasi wieder darum, den Perimeter abzusichern, die Organisation abzusichern. Es ging wieder nur darum, das zu sichern, was wir konnten, indem wir natürlich den Perimeter nutzten. Aber es ist lustig, weil ich mich tatsächlich daran erinnere, mich hingesetzt zu haben; ich war Mitte der 2000er Jahre auf einer Veranstaltung. Es war ein Forum in Jericho, als sie über die Auflösung des Perimeters sprachen. Und sie sprachen über Cloud, obwohl wir es zu diesem Zeitpunkt nicht Cloud nannten, es war wie vor der Cloud. Aber letztendlich ist genau das passiert. Organisationen sahen, wie sich dieser Perimeter auflöste. Und ich denke jedenfalls, für mich ging es mehr darum, mich weniger auf einige der technischen Aspekte und technischen Fähigkeiten zu konzentrieren, sondern mehr darum, die Art von Vereinbarungen, Verträgen und Allgemeinen Geschäftsbedingungen besser zu verstehen. Aber letztlich dreht sich auch alles um Risiken, oder? Zu diesem Zeitpunkt war es also interessant, dass wir diese Frage hatten. Wir hatten interne Diskussionen in einer unserer früheren Organisationen. Vertrauen wir der Cloud? Und natürlich haben Sie dann dieselbe Diskussion, bei der es nur um das Rechenzentrum von jemand anderem geht, was wir haben, wir hatten davor Drittanbieter, die wir nutzen, aber jetzt ist es so, als ob es jetzt in einem Ausmaß wächst, das wir vielleicht nicht wirklich vorhergesagt hatten, und das ging wirklich schnell. Und ich denke, das sehe ich normalerweise auch heute noch. Ich sehe, dass sich der CISO wieder auf Risiken konzentrieren muss, neue Technologien und neue Innovationen in den Blick nimmt. Natürlich beschäftigen wir uns seit vielen Jahren mit KI. Aber natürlich hat es in den letzten Jahren eine Explosion rund um den Einsatz von KI gegeben. Also nochmal, aber all das läuft letztlich auf Risiko hinaus. Und es kommt auch auf ein besseres Verständnis der Daten an. Ich spreche immer darüber, oder? Es geht um Daten und es geht um Risiken. Wenn Sie heute als CISO die mit Daten verbundenen Risiken gut verstehen können, dann haben Sie schon eine großartige Chance als CISO und einen Karriereweg, oder? Wenn Sie CISO werden möchten, ist es wirklich, wirklich beeindruckend, nur über dieses Wissen zu verfügen.

05:33

Stimme absolut zu. Und ich denke, wenn Sie über das Verständnis von Daten sprechen, meinen Sie damit, wirklich zu verstehen, wie sie mit Geschäftszielen zusammenhängen, oder? Geht es darum, die Dinge, die man schützt, irgendwie verstehen zu können, warum sie wichtig für das Unternehmen sind? Das muss heute ein wichtiger Teil der Rolle der CSOs sein.

05:53

Ja. Ja, die Sache ist, es war immer diese Diskussion. Es ging darum, können wir alle Daten schützen? All die Daten, mit denen diese Organisation täglich Geschäfte abwickelt. Ja. Letztlich besteht das Nirvana darin, dass du das versuchst. Zusammenfassend lässt sich sagen, dass der einzig wirkliche Weg, dies zu tun, darin besteht, Prioritäten zu setzen. Besteht darin, sich mit der Risikopriorisierung zu befassen. Schauen wir uns also an, woher die größten Risiken kommen, die höchsten Risiken, und welche Auswirkungen es auf mein Unternehmen haben wird, wenn ich zum Beispiel den Zugriff auf diese Daten verliere. Ich habe keinen Zugriff mehr auf diese Daten. Das hatten wir natürlich viele, viele Jahre lang mit Ransomware. Aber es geht auch darum, welchen Wert haben diese Daten? Denn wenn ich diese Daten verliere, was sind die wahren Auswirkungen, zum Beispiel aus finanzieller Sicht, in Bezug auf diese Daten, nicht nur die Bußgelder und Strafen, sondern letztlich, wiederum, verliere ich geistiges Eigentum? Verliere ich meinen Ruf? Gibt es in dieser Hinsicht einen Schaden? Für mich geht es also immer darum, die Daten, wo möglich, zu kontrollieren. Und zu Ihrem Punkt, ja, absolut, ich werde sehr gut darin, diese Daten zu identifizieren. Ich habe eine Reihe von Organisationen gesehen, die das wirklich gut machen. Ich meine, ich beschäftige mich seit vielen, vielen Jahren mit Tools zur Datenklassifizierung und Prävention von Datenverlust, und ich glaube, man muss fast das Regelwerk zerreißen, wenn es darauf ankommt. Es ist fast so, ja, Klassifizieren ist eine nette Sache. Sie müssen sich die Datenkategorisierung ansehen. Also, über welche Datenkategorie sprechen wir? Aber auch hier gilt es, Kontrollen rund um diese Daten anzuordnen, sodass die Kontrollen letztlich den Daten folgen, wohin sie auch gehen, und Sie können, glaube ich, einen gewissen Umkreis um diese Daten aufrechterhalten. In gewisser Weise sehe ich, dass sich die Rollen und Verantwortlichkeiten der Sicherheitsteams ändern. Und als CISO, der dieses Team leitet, müssen Sie natürlich innovativ sein und in diesem Bereich Vorreiter sein.

07:39

Absolut, diese ganze Herausforderung der Klassifizierung und Kategorisierung, um dann, glaube ich, die Grundlage zu schaffen, auf der Sie dann die Ergebnisse erzielen, die Sie erzielen möchten. Das ist irgendwie, es ist so grundlegend dafür. Lassen Sie uns also aus Ihrer Sicht über Herausforderungen sprechen, die Sie in Ihrer Rolle bewältigen mussten. Ich meine, wir werden zu den Herausforderungen in der Branche insgesamt kommen, aber lassen Sie uns noch einmal über Ihren eigenen Entwicklungspfad als CISO sprechen und über Dinge, die Sie bewältigen mussten.

08:09

Ja, ich glaube, ich meine, für mich war der erste da. Ich meine, ich erinnere mich, dass ich vor vielen Jahren wieder zu meiner ersten Vorstandssitzung gegangen bin. Ich habe eine Rolle übernommen und im Grunde genommen das präsentiert, was die vorherige Person seit vielen Jahren präsentiert hat. Und ich schätze, es war die Gelegenheit für den Vorstand, zu fragen: „Warum präsentierst du das?“ Und ich sagte: „Nun, es ist eine Fortsetzung.“ Ich war relativ neu; ich glaube, ich habe die Rolle sechs oder sieben Wochen lang inne und bereite mich auf diese Vorstandssitzung vor. Das wurde heute vorgestellt, und ich hatte die Gelegenheit, in den Sitzungssaal zu gehen und es zu präsentieren. Und wieder lautete die erste Frage: „Warum? Was ist das, was ist die Bedeutung von all dem?“ Ich gehe also davon aus, dass diese Frage noch nie gestellt wurde. Und ich habe mich sehr klar ausgedrückt. Ich war sehr offen. Ich habe bis zu diesem Punkt noch einmal gesagt, dass dies das ist, was zuvor vorgestellt wurde. Aber ja, wir können es ändern, wenn Sie daran interessiert sind, sich andere Kennzahlen anzusehen. Und dann hatten wir diese Diskussion: Was ist der Wert des Sicherheitsteams? Also, es war eine, ich meine, es war eine großartige erste Vorstandssitzung, oder? Ich wurde ins kalte Wasser geworfen. Aber für mich hat es natürlich deutlich gemacht, dass wir uns bei Kennzahlen und Messungen stärker auf das Geschäft ausrichten müssen. Das war mein, das war mein erster Befund. Es ging nicht darum, wie viele Systeme wir patchen und wie viele Vorfälle wir hatten. Letztlich ging es darum, wie beispielsweise das Sicherheitsteam das Unternehmen unterstützt, das Geschäft vorantreibt und dem Unternehmen hilft, voranzukommen. Natürlich bin ich bei der nächsten Vorstandssitzung zurückgekommen und habe diesbezüglich eine ganz andere, eine ganz andere Reihe von Kennzahlen vorgestellt. Das war also mein erster Befund. Mir wurde auch ziemlich schnell klar, dass wir in diesen Umgebungen natürlich nie wirklich Schlagworte und Akronyme verwenden können, was Kommunikation angeht. Und ich hatte wahrscheinlich die letzten 10 bis 15 Jahre damit verbracht, mich mit dieser Art von Terminologie zu befassen. Also, ich weiß, ich musste schnell meine Kommunikation verbessern. Und natürlich sollte es stärker auf den Geschäftswert ausgerichtet sein. Und letztendlich geht es wieder darum, das Unternehmen zu unterstützen. Unterstützung des Unternehmens in Bezug auf neue Einnahmequellen, neue Ideen, Fusionen und Übernahmen. Wie schnell könnten wir Organisationen, die wir durchgemacht und übernommen haben, aufbauen und sichern? Und das letztendlich wieder einem Unternehmensleiter vorzeigbar machen? Das waren also die vielleicht ersten Herausforderungen und Verbesserungen, die ich als CISO meiner Meinung nach vornehmen musste. Wenn ich noch einmal auf die letzten 10 bis 15 Jahre zurückblicke, halte ich es für sinnvoll, solche Diskussionen zu führen und mich weniger auf die technische Seite zu konzentrieren.

10:30

Das ist ein gutes Argument, das Sie vorbringen, denn angesichts dieser Erfahrung hatten Sie schon sehr früh in Ihrer CISO-Karriere, die mehr als ein Jahrzehnt zurückreicht. Ich finde es immer noch ziemlich anstrengend, wenn ich mir ansehe, wann immer Sie eine Art CISO in umgekehrten Kommentaren, Artikeln von Vordenkern und in Kommentaren darüber finden, dass CISOs besser auf die Prioritäten des Vorstands abgestimmt werden müssen. Ich muss besser mit den Vorständen kommunizieren und ihnen erklären, warum. Wenn dir diese Fragen vor 10 bis 15 Jahren gestellt wurden, warum ist das überhaupt noch ein Gespräch, oder? Wir hätten über diese Notwendigkeit hinausgehen sollen, und es sollte niemandem gesagt oder erneut gesagt werden müssen, dass es wichtig ist. Es sollte als gegeben angesehen werden. Warum findet diese Debatte immer noch statt?

11:18

Ja, das ist ein wirklich gutes Argument. Ja, übrigens, ich glaube immer noch, dass wir es wieder sind, wir hören zu. Wir werden vom Vorstand in Organisationen geschult. Ich glaube immer noch, dass, wie viele andere Abiturinnen und Absolventen, auch viele andere Rollen ausgebildet werden, oder? Ich habe an Vorstandssitzungen teilgenommen, in denen Sie nicht die Person waren, die gerufen wurde, weil sie nicht die richtigen Informationen gegeben hat, die sie sehen wollen. Es ist also immer eine Lernkurve. Es ist zum Beispiel immer ein Lernender, der an diesen Sitzungen teilnimmt. Und ich denke, das ist auch der Punkt, den wir brauchen, um meine nächste Aufgabe war, rein zu gehen und nicht mit derselben Art von Informationen, denselben Arten von Kennzahlen, und einfach reinzugehen und das erste Treffen zu fragen, reinzugehen und zu fragen: „Was möchten Sie, wie kann ich helfen, diese Organisation zu unterstützen und Ihnen die Informationen zur Verfügung zu stellen, die Sie als Vorstand benötigen, um sich natürlich zu verbessern.“ Also, ich denke, da lernen wir alle noch, oder? Ich glaube, es gibt keine Antwort. Es gibt keine einheitliche Antwort auf die Zusammenarbeit mit dem Vorstand. Es ist in jeder Organisation anders, und ich denke, für jede Organisation gibt es andere Anforderungen, und auch jede Organisation hat ihre eigenen Herausforderungen oder hat ihre eigenen Strategien, die, ja, man kann das nicht einfach an die nächste Organisation weitergeben. Also, ich denke, das ist wahrscheinlich der Grund dafür. Ich denke, mehr Diskussionen darüber sind kein Problem. Aber einige der Beispiele, die wir darüber hören, stimmen, alles, worüber wir sprechen sollten, wir sollten Geschäftssprachen sprechen und verwenden, und wir sollten diese Art der Kommunikation nutzen. Aber niemand nennt wirklich Beispiele. Es gibt übrigens ein paar da draußen. Aber ja, wir müssen diese weiter in den Vordergrund rücken, damit die Leute verstehen, was eine gute Kennzahl ist, um sie dem Vorstand mitzuteilen?

12:55

Ja, absolut. Ich denke, Beispiele wären viel besser, als nur das Offensichtliche zu sagen: „Mach einen besseren Job“. Aber mir gefällt, was Sie sind, wenn Sie zu dem zurückkehren, womit Sie angefangen haben, wir sind fast ein Vorstandsmitglied, das die Frage stellt, warum sollte mich das interessieren, oder? Und ich denke, das ist, ich finde, immer eine gute Frage, die Sie im Hinterkopf haben sollten, nicht nur für Vorstandspräsentationen, sondern so ziemlich für jede Präsentation, ist die, warum sollte sich mein Publikum dafür interessieren, was ich ihnen sage? Es ist vielleicht die beste Idee der Welt, aber wenn es dem Publikum egal ist, ist es egal.

13:28

Es ist das Buch, oder? Fangen Sie an mit, warum? Wenn Sie mit einer Folie präsentieren oder wenn Sie eine Diskussion führen, das ist alles, warum sprechen wir darüber? Warum? Warum ist das wichtig? Nochmals, warum investieren wir unsere Zeit und Energie in diese Sache? Das ist immer ein guter Ausgangspunkt. Ich meine, ich spreche darüber in Bezug auf neue Geschäftsmöglichkeiten, und wenn wir anfangen, darüber nachzudenken, zum Beispiel das Geschäft der Zukunft zu betrachten, nun ja, was versuchen wir in dieser Hinsicht zu lösen? Also, ja, es ist immer gut, damit anzufangen. Warum?

13:53

Ja, absolut. Also, ich weiß, wenn wir im Vorfeld dieser Konversation diskutieren, verbringst du viel Zeit. Ich meine, Sie sind natürlich ein CISO für Netskope, aber Sie verbringen auch viel Zeit damit, mit den CISOs Ihrer Kunden zu sprechen. Worüber freuen sie sich also? Und haben sie das Gefühl: „Hey, weißt du was, wir machen diese Dinge richtig.“ Weil ich denke, dass eine positive Botschaft auch wichtig ist, weil wir im Cyberbereich genug Negativität haben.

14:20

Ja, stimmt, ja. Ja, letzte Woche hatten wir unseren Kundenbeirat, was mir wieder eine großartige Gelegenheit bot, mit Kollegen aus der Branche, anderen CISOs, in einigen großartigen Organisationen zu sprechen. Und es ist immer, immer interessant, die beiden Seiten zu hören, die Herausforderungen, aber auch, was funktioniert, was sie in Bezug auf großartige Dinge wie Innovationen auch im Bereich Cybersicherheit sehen. Und ich finde es großartig, so viele Unternehmen positiv zu sehen und wirklich damit zu beginnen, viele ihrer Technologien zu konsolidieren, ihren Sicherheits-Stack, den sie vielleicht in der Vergangenheit hatten und der in vielen Fällen komplex und schwer zu verwalten war. Als Beispiel hatten wir eine kurze Diskussion über die Abkehr von Unternehmensnetzwerken, und wenn ich noch einmal 20 Jahre zurückblicke, wir beispielsweise mit dem Jericho Forum und der Cloud Security Alliance darüber gesprochen haben, als wir über den Übergang zu einer Welt ohne Perimeter sprachen. Und das Interessante ist, dass es passiert, oder? Wir sehen jetzt, dass immer mehr Unternehmen dies absolut tun und sagen, dass unser Ziel, falls es nicht bereits existiert, darin besteht, letztendlich unser Unternehmensnetzwerk zu entfernen und unseren Mitarbeitern und jedem Gerät, das sie verwenden möchten, die direkte Konnektivität zu ihren Diensten zu ermöglichen, die sie nutzen möchten, ohne ein VPN aufrufen und wieder eine Verbindung zu Netzwerken und dann weiter zu ihren Diensten herstellen zu müssen. Ich meine, es gibt immer noch ein paar Anwendungsfälle und bestimmte Branchen, die das vielleicht beibehalten müssen, aber es ist toll zu sehen, ich meine, letzte Woche mit einer der größten Finanzdienstleistungsorganisationen gesprochen zu haben, dass das ihr Ziel war. Sie wollen sich von diesem schwer zu verwaltenden und schwer skalierbaren Unternehmensnetzwerk verabschieden. Das war eine gute Sache, und ich sehe eine konsistentere Botschaft darüber, wie Unternehmen das gemacht haben, und ich teile mit, wie sie das gemacht haben, wie sie das geschafft haben, und sehe mir auch alle Vorteile an, wie die Kostensenkung, die Kostenkonsolidierung in vielen Bereichen, die Risikominderung und letztendlich die Verbesserung der allgemeinen Produktivität für ihre Mitarbeiter und ihre Endbenutzer.

16:16

Das ist eine wirklich interessante Sache und ich denke, die ganze Bewegung von der Frage, ob es keinen Perimeter hat, oder ob es sich irgendwie in Richtung Mikroperimeter bewegt, wie auch immer, in welche Richtung man will, man will das irgendwie einrahmen. Ich denke, das sind im Grunde zwei Seiten derselben Medaille. Ich denke, der Grund, warum das aus Sicherheitsgründen effizient ist, liegt darin, dass Sie dann nicht vor dem Dilemma stehen: Ist das vertrauenswürdig? Ist das nicht vertrauenswürdig? Das geht irgendwie weg, denn wenn das quasi kein Hinweis auf Zero Trust ist, wird das später kommen, oder? Aber ich denke, das ist das Schöne daran, dass man dann plötzlich sagen kann, nun ja, auf alles wird über das Internet zugegriffen. Ich behandle alles so. Dann kann ich die Sicherheit auf sehr konsistente Weise anwenden. Ich meine, ich kann den ganzen Kontext usw. verwenden, oder? Und etwas, das von einem Starbucks kommt, kann anders behandelt werden als etwas, das aus der Hotellounge kommt, oder? Aber trotzdem kann ich immer noch dieselben Prinzipien anwenden, anstatt Annahmen treffen zu müssen. Und ich denke, das ist ein ziemlich mächtiger Ort, an dem man sein kann.

17:20

ja, ja. Ich denke, absolut. Ich denke, wenn wir über die allgemeine Einführung der Zero-Trust-Prinzipien sprechen. Ich habe zum Beispiel mit einem guten Freund als CIO für ein großes, sehr großes Unternehmen zusammengearbeitet, und er hat eine großartige Geschichte erzählt. Offensichtlich arbeiteten während der Pandemie alle von zu Hause aus, und sie haben das gesamte Zero-Trust-Prinzip und die Zero-Trust-Richtlinien eingeführt, um ihre Mitarbeiter im Homeoffice besser abzusichern. Und was interessant war, war, als er sagte: „Als alle wieder ins Büro kamen, wurde uns klar, dass wir aufgrund der von uns vorgenommenen Änderungen bessere Sicherheitsvorkehrungen hatten, wenn alle von zu Hause aus arbeiteten. Deshalb wollten wir dieselben Prinzipien auf unser internes Netzwerk anwenden. Und dann wurde uns klar, nun ja, können wir einfach unser internes Netzwerk, unser Unternehmensnetzwerk, loswerden. „Und das ist letztlich ihr Ziel. In diesem Beispiel, dieser Organisation, haben sie also gesehen, dass dies eine großartige Möglichkeit ist, diesen Schritt zu rechtfertigen, diese Umstellung auf diese Art von Ansatz, denn auch hier stellten sie fest, dass sie bei der Betrachtung ihrer Sicherheitslage und der Sicherheitskontrollen feststellten, dass sie tatsächlich detailliertere, spezifischere Kontrollen für ihre Mitarbeiter im Homeoffice hatten. Aber die Art und Weise, wie sie das gemacht haben, und das wurde fast zu einer grundlegenden Tatsache, geht über Identität als Mittel zur Bewertung oder Verwendung von Identität nur als Signal im Rahmen von Zero Trust hinaus. Dabei ging es natürlich um das Gerät, das die Person benutzt. Ist es ein Unternehmen? Handelt es sich zum Beispiel um ein persönliches oder ein anderes Gerät, das über Laptop und Handy usw. hinausgeht? Aber ich verstehe etwas mehr über das Gerät selbst, führe einige Haltungsprüfungen am Gerät durch, verstehe aber auch das Gerät und schaue dann auf den Standort. Also, von wo aus stellt diese Person eine Verbindung her und wohin stellt sie eine Verbindung her, und dann einige Details zu welcher Anwendung? Weil sich jetzt alles um die Anwendung dreht. Das ist es nicht wirklich; Sie stellen keine Verbindung zu einem Netzwerk her. Sie stellen eine Verbindung zu einer Anwendung her. Und dann war es, naja, welche Instanz der Anwendung? Weil eine Unternehmensinstanz einer Anwendung sich stark von einer persönlichen Instanz unterscheidet, und in einigen Fällen sind sie natürlich identisch. Wenn ich mir die offensichtlichen Beispiele ansehe, wie OneDrive und Google Drive und all diese Dinge. Es ist wirklich wichtig, mit welcher Art von Instanz Sie eine Verbindung herstellen. Wenn Sie Unternehmensdaten auf eine persönliche OneDrive-Instanz verschieben, ist das wahrscheinlich eine große Sache, oder? Und dann ist es die Aktivität. Also, was ist davor und danach passiert? Und dann natürlich auch zurück zum Datenstück. Unser Beirat, letzte Woche, wir haben darüber gesprochen, und es gab eine Bemerkung, wie sieht es mit der Zeit aus? Weil Zeit, Daten und der Zugriff auf Daten zu bestimmten Zeiten natürlich eine Anomalie sein können, aber letztendlich sollten Sie bei der Entwicklung von Zero-Trust-Prinzipien auch die Zeit berücksichtigen, da Daten ihren eigenen Lebenszyklus haben. Also, Daten, es könnte bestimmte Datenbestände usw. geben, die zu einem bestimmten Zeitpunkt streng vertraulich sind, aber vielleicht wie bei jeder Art von Arbeit an M&A-Aktivitäten, aber nach diesem Zeitpunkt ist es ja, vielleicht nicht mehr so vertraulich. Zeit ist also auch eine Art Signal, das wir in diesem Zusammenhang berücksichtigen müssen. Aber das hat mir, wie gesagt, wirklich die Augen geöffnet, um über die Identität hinaus darüber nachzudenken. Und noch einmal, das haben wir natürlich bei Netskope übernommen, und als Teil unserer internen Sicherheitsfunktion ist es ein absolutes Zero Trust. Und wenn wir uns dieses Reifegradmodell ansehen und so weit wie möglich aufsteigen, was die optimale Haltung angeht, und all diese Signale mit einbeziehen, weil sie alle entscheidend sind.

20:41

Ja, nein, ich stimme absolut zu. Und ich denke, sie sind der Meinung, dass Identität wichtig ist, aber ich habe auch das Gefühl, dass es in vielerlei Hinsicht wahrscheinlich zu viel Rotation und Fokus auf Identität gegeben hat und nicht genug auf andere Signale und andere Säulen. Und während Sie gesprochen haben und sozusagen verschiedene andere Signalquellen durchgehen, Netzwerk, Anwendung, Gerät usw. Es hat mich tatsächlich zum Nachdenken gebracht, wenn wir über die Säulen von Zero Trust nachdenken, und wir haben, wie das Gerät, die Anwendung, den Benutzer, das Netzwerk, ich glaube, es ist die Arbeitslast oder die Daten, ich kann mich nicht erinnern. Und oft sprechen wir von einer gewissen Reife, von reifenden Kontrollen in jeder dieser Säulen. Aber wie Sie gerade sprechen, ist eigentlich jede dieser Säulen auch Signalquellen. Und Sie stellen sich beide quasi als Eigenschaften von allem vor, aber auch als Dinge, die Sie schützen, und es gibt eine Menge Wechselbeziehungen zwischen den beiden, während Sie Ihre Zero-Trust-Strategie ausrichten und weiterentwickeln, ja, ich stimme zu, oder? Denken Sie über Identität hinaus, richtig, wenn Sie über diese Signale nachdenken.

21:48

Ich habe viele Jahre lang ein Sicherheitsteam geleitet, und Sie wollten immer den Kontext. Nochmals, das ist ein ziemlich grobes Beispiel, aber wir hatten jemanden, der Daten, wirklich vertrauliche, hochwertige Daten, nahm und sie auf ein USB-Laufwerk speicherte. Sie waren im Begriff, die Organisation zu verlassen, und wir haben sie angerufen und identifiziert. Wir sagten: „Okay, wir brauchen das USB-Laufwerk zurück, weil wir es sicher löschen müssen.“ Offenbar haben sie das zu Backup-Zwecken getan, was bereits die Alarmglocken schrillen ließ. Warum sollten Sie auf USB sichern, wenn Sie Dateiserver usw. und GitHub-Repositorys und all diese Dinge hatten. Das war wieder in einer früheren Rolle, aber es war interessant, denn als das Gerät zurückkam, nun ja, es war ein anderes Gerät als das, das eigentlich zum Abkopieren der Daten verwendet wurde. Das war also wieder ein sofortiger Alarm, und wir haben die Person tatsächlich gestoppt. Sie sagten: „Oh ja, ich habe ein anderes USB-Laufwerk zurückgegeben.“ Aber auch das ist nur ein wirklich grobes Beispiel und zeigt, warum dieser Kontext wirklich wichtig ist, denn wir haben tatsächlich zu dem Zeitpunkt aufgehört, als dies als erhebliche Datenschutzverletzung in der Organisation angesehen werden würde. Wir haben verhindert, dass das passiert. Und natürlich wissen wir alle als Sicherheitsexperten, dass wir so viele Sicherheitslücken wie möglich verhindern wollen, weil wir wissen, was im Rahmen der Reaktion auf die Wiederherstellung usw. passiert. Außerdem kostet das viel Zeit und Mühe. Aus diesem Grund treffe ich mich, spreche ich auch heute wieder vom Security Operations Team, und ich frage nach jedem Security Operations Team, mit dem ich zusammenarbeite, um herauszufinden, welchen Kontext Sie aus diesen Dingen gewinnen können. Und in einigen Fällen benötigen Sie mindestens diese acht oder neun Signale, um die Auswirkungen und die Bewertung des Ereignisses wirklich beurteilen zu können.

23:22

Ich denke, Sie haben dieser Person keinen Vertrauensbonus gegeben. Ich glaube, sie haben den USB-Stick genommen und ihn dann auf einem anderen USB-Stick gesichert, den haben sie dir gegeben. Also haben sie nur redundante Backups gemacht, nur für den Fall.

23:34

Es ging natürlich darum, ja, die Tatsache zu verbergen, dass sie diese Daten hatten, die sie mitgenommen hatten. Wir wollten natürlich nicht, dass sie die Unternehmensdaten mitnehmen. Das war letztlich das Szenario, das wir hatten, und das, ja, wir konnten das abmildern. Aber noch einmal, je nach Kontext, schaut man sich das Gerät an und es ist, nun ja, das war nicht das Gerät, das die Warnung ausgelöst hat. Sie wissen also, dass sofort ein größeres Problem im Spiel ist. Ja, ich denke, mit der Cloud ist es heute genauso. Ich führe diese Diskussion mit vielen, vielen anderen CISOs, die über die Herausforderungen der Cloud sprechen — es ist, als ob wir das nicht immer tun oder in der Anfangszeit hatten wir nicht immer einen vollständigen Überblick darüber, welche Cloud-Dienste von unserem Unternehmen genutzt wurden, was genehmigt wurde, was von Anbietern und Drittanbietern bewertet wurde usw. Und ich denke immer noch, dass wir diese Herausforderung heute für viele Unternehmen haben; das ist das Feedback, das sie mir geben. Wir wissen nicht genau, was verwendet wird. Wir haben unsere zugelassenen öffentlichen Cloud-Dienste, die wir haben, als wären wir ein Azure oder AWS oder GCP, aber für SaaS erhalte ich normalerweise Feedback, dass wir nicht wirklich wissen, was wir in Bezug auf SaaS verwenden, als ob Sie nicht in der Lage wären, eine umfassende Bestandsaufnahme dessen zu erhalten, was täglich in Bezug auf Cloud-Dienste genutzt wird. Aber natürlich gibt es Tools wie Netskope, die einem Unternehmen helfen können, das zu identifizieren und dann Kontrollen vorzunehmen. Und ich denke, das ist ein wirklich guter Ausgangspunkt. Aber dann kommt es wieder auf die Daten an. Also okay, nun, welche Daten gehen an diese Dienste? Denn wenn ich den Zugriff auf diese Dienste verliere, ist dieser Dienst zum Beispiel nicht verfügbar. Was ist die Auswirkung? Um noch einmal auf die Diskussion auf Vorstandsebene zurückzukommen, darüber sprechen wir jetzt. Wenn wir den Zugriff auf diese Daten verlieren, welche Auswirkungen hat das auf uns als Organisation? Wir führen gerade dieselbe Diskussion über KI-Dienste. Da KI-Dienste immer mehr in Geschäftsprozesse eingebettet werden, fragen wir uns: Nun ja, was passiert, wenn dieser Dienst nicht mehr verfügbar ist, was sind die Auswirkungen? Also, ja, wir müssen anfangen, über diese Möglichkeiten nachzudenken. Es ist natürlich eine Form von Resilienz, aber jetzt denkt es sich: Weiß ich, wie robust meine Dienste sind und was passiert, wenn sie nicht verfügbar sind oder wenn sie kompromittiert wurden?

25:35

Ich komme nur zurück zu dem, was Sie über die Nutzung von Schatten-IT gesagt haben, oder? Und was auch immer, sagen wir Mitte der 2010er Jahre, als der CASB-Markt noch in den Kinderschuhen steckte. Und ich erinnere mich, dass ich tatsächlich Ihr Entwicklungszentrum in Bangalore besucht und mich mit Mitgliedern Ihres Produktteams zusammengesetzt habe und gesagt habe: „Es wäre großartig, wir sind mitten in einer Bewertung, ich wäre großartig, wenn Sie dies, dies und das tun könnten, denn das würde mir dann den gesamten Einblick in die SaaS-Nutzung geben.“ Aber wie wir schon besprochen haben, eine Art von KI, du hast gerade die Nutzung von KI angesprochen, oder? Und ich finde das wirklich interessant, denn ich denke, da KI zu solchen KI-Modellen wird, die zu einer so wichtigen Komponente von Geschäftsanwendungen werden, ist das KI-Modell jetzt eine wichtige Anwendung. Wir müssen also darüber nachdenken, wie wir das auf die gleiche Weise sicherstellen können, wie wir es vielleicht für mein Kernbankensystem beantragt hätten, wenn ich ein Bankanbieter wäre, oder? Mein KI-Modell ist jetzt sowohl für das A, das I als auch für das C von grundlegender Bedeutung, oder? Ich muss alle drei im KI-Modell schützen.

26:43

Ja. Nochmals, wie gesagt, ich habe viele Zeitalter durchlebt, wie das Computerzeitalter, das Internetzeitalter, das Cloud-Zeitalter und jetzt das KI-Zeitalter. Um ehrlich zu sein, weiß ich nicht, ob ich ein anderes Zeitalter in mir habe. Ich werde vielleicht sogar durch KI ersetzt, wir wissen es nicht. Aber ich denke, du hast recht, jedes Mal, wenn wir in ein neues Zeitalter eintreten oder wir uns im Übergang in ein anderes Zeitalter befinden, fangen wir an zu denken, naja, natürlich, wie wir das besser sichern können? Und ich hatte dieselbe Diskussion mit dem Internetzeitalter, wo es eigentlich darum ging, nun ja, wir werden nur bestimmten Menschen Zugang zum Internet gewähren. Und natürlich hatte innerhalb weniger Monate jeder Zugang. Und das Gleiche gilt für die Cloud. Es ist, als würden wir nur die Anzahl der Cloud-Dienste begrenzen, die wir verwenden. Und dann, innerhalb weniger Monate, hatten wir das Problem mit der Schatten-IT. Und ich denke, wir leben jetzt natürlich im KI-Zeitalter. Ich meine, auf eine Sache konzentrieren wir uns sehr. Ich bin also Mitglied unseres AI Governance Committee und habe unsere Richtlinien für verantwortungsvolle KI und unseren KI-Sicherheitsstandard mitverfasst. Außerdem arbeite ich eng mit unseren Teams in Netscape zusammen. Was wiederum unseren Einsatz von KI angeht, sowohl aus Unternehmenssicht als auch aus dem, was wir in unserem Produkt haben. Wir haben Aufzeichnungen, wir haben eine genaue Aufzeichnung der Nutzung, und wir verknüpfen das alles zum Beispiel mit den Anwendungsfällen. Also, ja, wir haben diese großartige Fähigkeit, dass wir das machen können, oder? Wir haben das als Organisation. KI ist unser Hauptaugenmerk darauf, Kontrollen zu identifizieren und sicherzustellen, dass wir beispielsweise den Einsatz von KI besser schützen. Wir arbeiten natürlich auch eng mit unserem Bedrohungsforschungsteam zusammen, und natürlich haben wir einen zunehmenden Einsatz von KI zur Förderung von Innovationen in Bezug auf die Art der Einleitung von Bedrohungen und Angriffen und den Einsatz neuartiger Techniken usw. beobachtet. Das haben wir also bereits gesehen. Und aus Sicht der Verteidigung wiederum die Unterstützung des Produktteams beim Aufbau der Abwehrmechanismen, bei denen die KI wieder da ist, also ja, das sehen wir schon. Aber wie gesagt, aus unserer organisatorischen Sicht müssen Sie diesbezüglich einen Ansatz wie ein Dachverband verfolgen. Man muss sich all diese verschiedenen Anwendungsfälle ansehen und auch, welche Auswirkungen sie haben, falls einer davon betroffen ist. Für uns als Unternehmen ist das bereits jetzt von entscheidender Bedeutung, was wiederum die Kontrolle und Steuerung des Einsatzes von KI angeht. Und wir haben auch eine Regulierung, die jetzt ist, jetzt auch hier. Wir haben das EU-Gesetz über künstliche Intelligenz, das im August in Kraft getreten ist. Und es ist auch interessant, weil ich regelmäßig mit anderen Organisationen spreche und manchmal das Feedback, das ich erhalte, lautet: „Es ist okay, wir müssen drei Jahre lang nichts tun.“ Und meine Antwort lautet: „Nun, nein, eigentlich kommt der erste Meilenstein und die erste Sache, die erste Durchsetzung, bald, im Februar 2025, oder? Wir können es also kaum erwarten.“ Es bereitet sich wirklich auf den ersten Meilenstein rund um den Einsatz verbotener KI, Systeme und Dienste vor. Also das heißt, ja, das heißt, ich denke, Regulierung wird eine Rolle spielen, aber letztendlich geht es zurück zu dem, was wir wissen, oder? Was haben wir? Wie sichern wir es? Wie stellen wir sicher, dass die Unternehmensführung eingehalten wird?

29:35

Ja, absolut. Also, ich knüpfe dieses KI-Gespräch irgendwie an die Gespräche an, die Sie mit CISOs führen, und wir haben über einige der Dinge gesprochen, über die sie sich freuen und die sie positiv bewerten. Womit haben sie zu kämpfen, oder? Worüber sind sie frustriert?

29:52

Ja, also ich denke, ich denke immer noch, dass die Nummer eins, glaube ich, die Herausforderungen der aktuellen regulatorischen Landschaft sind. Und außerdem, ja, bevorstehende neue Vorschriften und Änderungen der Standards und Rahmenbedingungen. Ich meine, wir haben sie viele Jahre lang gelebt, oder? Aber ja, im Moment scheint es einfach so zu sein, dass viele Vorschriften in Kraft treten. Wie stimmen sie alle aufeinander ab? Zum Beispiel, gibt es Überschneidungen? Und was ist es, was hat Priorität und solche Dinge. Und, ich meine, ja, ich beschäftige mich regelmäßig mit diesen Dingen. Ich bin zum Beispiel bei NIS2 und DORA, seit sie quasi zum ersten Mal angekündigt wurden. Und noch einmal das EU-Gesetz zur künstlichen Intelligenz. Ich habe bereits im August einen Artikel darüber geschrieben, nachdem der Text offiziell im EU-Journal veröffentlicht wurde. Also, all diese Dinge. Also, ich bin mir dieser Dinge bewusst, aber es ist schwierig. Für Organisationen, die CISOs sind, ist es heute wirklich schwierig zu verstehen, was sie im Hinblick auf die Regulierung tun müssen. Also, ich denke, wie ich das lösen kann, weil ich auch, ich freue mich, über Probleme und Herausforderungen zu sprechen, aber ich denke auch, nun, wie können wir das schnell lösen? Und auch hier gehe ich in der Regel so vor, dass wir unseren aktuellen Standardkontrollrahmen ausbauen oder verbessern. Wir haben also eine Reihe gemeinsamer Kontrollen, die wir beispielsweise anwenden können und die die Anforderungen vieler dieser Vorschriften sowie der Normen und Rahmenbedingungen erfüllen, die demnächst eingeführt werden. Und indem wir so etwas wie eine organisatorische Kontrolle oder eine technische Kontrolle anwenden, können wir die Anforderungen erfüllen, die sich daraus ergeben. Aber das gilt nicht nur für Vorschriften oder Standardarbeiten. Sie wenden das an, und das gilt dann also für mehrere. Das ist also die Art von Art, die ich eigentlich geteilt habe. Ich habe eine Reihe von, naja, meinem Team, mit dem ich bei Netscape zusammenarbeite, verfasst. Wir haben alle an dieser Compliance-Reihe von Leitfäden gearbeitet, die Unternehmen letztendlich dabei helfen können, zu verstehen, was sie tun müssen. Aber die Art der einfachen Früchte, wie wir sagen, und auch wie, wenn Sie diese Kontrolle anwenden, wenn Sie diese Kontrolle anwenden, welche Auswirkungen hat das auf die gesamte regulatorische Landschaft? Also, ja, das sind die Herausforderungen, von denen ich höre, und dann auch, wie wir darüber nachdenken, zur Lösung einiger dieser Herausforderungen beizutragen.

31:53

Ja, und ich kann mir absolut vorstellen, wie belastend es werden kann, wenn man so viele verschiedene Vorschriften hat, die man im Grunde lösen muss, oder? Und jeder von ihnen verlangt irgendwie das Gleiche, aber eine etwas andere Farbe. Und du sagst: „Muss ich alle Farben machen oder muss ich nur einige von ihnen machen?“ Aber ich stimme zu, richtig, wenn man vielleicht ein einheitliches Framework hat, auf dem dann eine Art von Vorschriften erstellt wird, oder einfach nur Erweiterungen davon, dann hat man dann zumindest den Kommentar, der sagt: „Okay, nun, wenn ich dieses Framework übernehme, richtig, ich weiß, dass ich alle Grundlagen abgedeckt habe.“ Und ich habe bis zu einem gewissen Grad das Gefühl, und ich nicke DORA zu, insbesondere in diesem Fall, dass es sehr stark auf ISO 27001 und das NIST-Cybersicherheitsframework als wesentliche Inspirationsquelle zurückgeht. Darauf baut es auf. Sehen Sie, dass das ein bisschen Hoffnung ist, dass es in dieser Regulierungsbehörde, die sagt, wir müssen das Rad hier nicht neu erfinden, eine Menge guter Standards und Rahmenbedingungen gibt, auf denen wir aufbauen können, und so werden wir reifen, anstatt unser eigenes Ding individuell zu erfinden.

33:04

Ja, es ist auch die Reife. Und wenn auch neue Versionen dieser Standards und Frameworks auf den Markt kommen, ist das immer gut zu sehen. Ich meine, ich habe mich viele, viele Jahre lang für ISO-270001-Updates eingesetzt, um Dinge wie Web-, Cloud- und Datensicherheit einzubeziehen. Ich bin nicht wirklich auf die Einzelheiten eingegangen, was das eigentlich bedeutet. Ich war also sehr aufgeregt, als ich zu den Leuten gehöre, die sich freuen, wenn ein neuer, aktualisierter Standard veröffentlicht wird, das merkt man. Als sie 2022 auf den Markt kamen, dachte ich, großartig, sie haben sich endlich mit Websicherheit, Cloud-Sicherheit und Datensicherheit befasst. Ich habe mich viele, viele Jahre lang für DLP eingesetzt, seit mein QSA eingeführt wurde und ich ihm gezeigt habe, wie DLP mir dabei hilft, alle Kartendaten außerhalb meiner Kartendatenumgebung zu identifizieren. Er sagte: „Okay, wie heißt diese Technologie?“ Ich sagte: „Sie heißt DLP.“ Er meinte: „Interessant, vielleicht können wir das als Ausgleichskontrolle betrachten.“ Ich meinte, ja, das sollte es, ja, das sollte es sein, wirklich, sollte es nicht.“ Also das war, nochmal, das zeigt, wie alt ich jetzt bin, das war Mitte der 2000er. Aber ja, es ist toll, dass Standards und Frameworks die verfügbaren Kontrollen irgendwie einholen. Und auch hier stimme ich voll und ganz zu, wenn wir können, müssen wir die Sicherheit immer vereinfachen. Ich meine, Komplexität ist immer unser Feind. Zurück zum Ermessen des Balls, es gibt auch keine richtige Antwort, es gibt keine perfekte Passform. Wir können also davon ausgehen, dass wir, selbst wenn wir gehen, eine Vielzahl von regulatorischen Standards und Rahmenbedingungen einhalten müssen. In vielen Fällen werden sie immer noch einzigartig für uns und unser Unternehmen sein. Also ja, so wenden wir sie an, so betrachten wir sie. Also ja, aber wenn wir die meiste Zeit damit verbringen, die Compliance-Anforderungen zu erfüllen, dann ja, leider nicht, wir haben dann nicht immer die Zeit, uns mit Innovationen und den neuesten Bedrohungen und Daten zu befassen, und ja, auch mit den Fortschritten in anderen Bereichen. Also ich denke, ja, ja, wenn Sie die Einhaltung der Vorschriften vereinfachen können, wird sie ihren Beitrag leisten, da Sie sich auch auf andere Dinge konzentrieren können.

34:56

Absolut, richtig? Ich denke, die Vereinfachung der Einhaltung der Vorschriften ist absolut, und das wird jeder begrüßen. Aber ich denke, es wäre auch spannend zu sehen, wie die Einhaltung von Vorschriften nicht nur die einfache Berichterstattung über die Einhaltung von Vorschriften vorantreibt, sondern auch Innovationen vorantreibt. Das ist keine Innovation, das ist einfach eine bessere Berichterstattung, sondern wirklich Compliance als eine Möglichkeit, mehr Innovationen im Sicherheitsbereich voranzutreiben. Ich sehe, dass es dafür eine Gelegenheit gibt. Was ist deine Perspektive?

35:20

Ja. Ich meine, ich habe das EU-Gesetz über künstliche Intelligenz mehrmals gelesen, um wirklich zu verstehen, wie das in einer Organisation genutzt werden kann, um sicherzustellen, dass Sie die Anforderungen erfüllen. Aber stellen Sie auch sicher, dass, wenn Sie beispielsweise Cybersicherheitskontrollen implementieren, auch diese den Gesetzen entsprechen. In dieser Hinsicht ist es natürlich ein sehr hohes Niveau. Es ist in bestimmten Bereichen sehr vage, aber es geht um bestimmte Arten von Aktivitäten, bestimmte Arten der Überwachung usw. Das ist letztlich das, was Sie tun können, wenn es darauf basiert, dass eine Maschine bestimmte Dinge überprüft und nicht ein Mensch, oder? Aus Sicht der Innovation ist es natürlich wichtig zu verstehen, aber auch zu verstehen, dass Sie KI/ML in Ihrem Unternehmen einsetzen können, um Ihr Unternehmen abzusichern. Das ist es nicht, es geht nicht darum, darauf hinzuweisen und sich darauf zu konzentrieren, dass Sie das zum Beispiel nicht tun können, weil es als Profiling oder ähnliches betrachtet wird, oder? Das ist also wirklich wichtig. Ich denke, es gibt auch heute immer wieder großartige Best-Practice-Leitfäden. Wenn ich zu einer Veranstaltung gehe und ich werde sehen, ich höre von einem der Hauptredner oder gehe zu einer der Sitzungen, die mich interessieren, gibt es immer viele Leute, die das durchgemacht haben und innovativ waren, und sie haben vielleicht eine Plattform genutzt, um eine bestimmte Compliance-Anforderung zu erfüllen, aber wie sie zum Beispiel vielleicht das Budget genommen haben, das bereitgestellt wurde, um der Organisation zu helfen, diese Compliance-Anforderung zu erfüllen, und dann die Einhaltung der Anforderungen, und haben dann einen Teil der Ausgaben, der Technologieinvestitionen, verwendet oder wiederverwendet, um auch mach auch andere Dinge. Und noch einmal, ich denke, es ist wirklich, wirklich wichtig, dass jede Organisation das in Betracht zieht, oder? Es ist eine weitere Veränderung, die ich hatte. Ich habe von CISOs gehört, dass sie erneut nach einer Konsolidierung suchen. Sie suchen nach Möglichkeiten zur Kostensenkung. Und für mich gibt es dafür einige großartige Möglichkeiten. Ich meine, ich erinnere mich an die Gründung einer Organisation mit etwa 70 Technologien, und ich habe mich im Team umgesehen und wir und wir hatten ungefähr 10 Leute. Ich meinte, okay, jeweils sieben. Okay, selbst wenn wir sie einfach patchen und aktualisieren und sie mit den Regeln und der Konfiguration auf dem neuesten Stand halten, wird das nicht möglich sein, oder? Wir müssen damit beginnen, die Anzahl der Technologien, die wir haben, verschiedener Anbieter usw. zu reduzieren. Wir müssen uns wirklich auf einen überschaubareren technischen Stack konsolidieren, und da sah ich diese gute Gelegenheit, okay, was ist die Compliance-Anforderung dafür? Was hilft uns das aus Sicht der Bedrohung oder des Datenschutzes? Wie sichert das unsere Infrastruktur? Wie schützt das unsere Mitarbeiter? Weil, ja, wir müssen auch dazu beitragen, Menschen zu schützen. Wie hilft es bei der Aufklärung und Sensibilisierung? Also habe ich die Anforderungen in die engere Wahl gezogen, die wirklich diese wichtigen Schlüsselbereiche erfüllten, und dann war ich in der Lage, ja, absolut, nach Möglichkeiten zu suchen, die Anzahl der von mir verwendeten Technologieanbieter zu reduzieren und das Ganze letztendlich überschaubarer zu machen. Und ich habe in jeder Organisation, der ich beigetreten bin, versucht, mich wirklich darauf zu konzentrieren. Denn solange Sie diese Anforderungen erfüllen, ist das großartig, aber es gibt eine Menge technischer Schulden. Ich denke, das ist der allgemeine Ausdruck, von dem wir alle sprechen, dass er eine der größten Herausforderungen darstellt. Es gibt Möglichkeiten, wie wir auf jeden Fall versuchen können, diese Komplexität zu reduzieren. Und ich denke, wenn man die Komplexität reduziert, kann man anfangen, sich mehr Zeit zu widmen. Mir wäre es lieber, wenn sich mein ganzes Team wieder mehr darauf konzentriert, Technologien zu optimieren, zu konfigurieren, zu verbessern, mehr Zeit damit zu verbringen, sich Ereignisse anzusehen, Kennzahlen und Trends sowie Analysen und Analysen und solche Dinge zu betrachten, anstatt eine Technologie aktualisieren zu müssen, weil eine Aktualisierung geplant ist. Solche Dinge möchte ich wirklich und das, ich meine, das ist natürlich die Freude, die Freude an SSC und SASE ist, dass Sie das letztendlich Ihrem Anbieter überlassen können und einfach die Zeit nutzen können, die für die Wartung und Konfiguration dieser Richtlinien aufgewendet wird, sodass das aus meiner Sicht wirklich, wirklich wichtig ist. Nochmals, wie wir die Ressourcen zu unseren Bedingungen verwalten.

39:17

Ich denke, eine Sache rund um diese Konsolidierung ist meiner Meinung nach auch eine Chance, vor allem, wenn Sie Anbieter haben, die sagen: „Hey, wir haben diese Fähigkeit.“ Oft denke ich, und ich weiß, wenn ich auf der Anbieterseite bin, dass der Widerstand von Interessenten zu Kunden wie folgt lautet: „Nun, ich habe bereits 30 andere Tools“, oder in Ihrem Fall sagten Sie 70 andere Tools, oder? Aber ich denke, diese Konsolidierung ermöglicht es Ihnen, dann genau herauszufinden, welche Fähigkeiten Sie haben, denn ich denke, das ist die größte Herausforderung für Unternehmen, wenn sie mit einer neuen Technologie konfrontiert werden, darin, dass sie tatsächlich nicht verstehen, was ihr aktueller Stack tut, oder? Wo sie einen Mehrwert bietet und wo sie sich tatsächlich befindet, obwohl sie über 70 verfügt, gibt es immer noch Lücken in Bezug auf Fähigkeiten und Schlüsselfunktionen. Und ich denke, es bietet eine Gelegenheit, diese im Grunde zu entdecken und zu sagen: „Ah, okay, jetzt verstehe ich, warum ich das brauche.“

40:11

Ja, genau. Also, ich meine, es war eines der ersten Dinge, die ich getan habe, war, Zulieferpartner aus früheren Rollen hinzuzuziehen. Ich meine, das Tolle ist, dass ich bei Netskope offenbar vor sechseinhalb, sieben Jahren zu Netskope gekommen bin. Wir sind ein Cloud-Unternehmen, das ein Produkt für die Technologie anbietet. Also, ich hatte das, dieses Problem nicht. Aber genau das habe ich in früheren Organisationen zu sagen, weil ich weiß, dass das eine, das ist, das ist eine große Herausforderung. Aber ja, ich würde Lieferanten und Partner hinzuziehen und sagen: „Okay, in sechs Monaten steht eine Verlängerung an.“ Und das Erste, was sie immer sagten, war: „Okay, wir werden uns zeitnah mit Ihnen in Verbindung setzen.“ Und ich sagte: „Nein, ich muss wissen, warum wir jetzt diese Technologie verwenden. Welchen Nutzen sehe ich in dieser Technologie?“ Und wir hatten diese Diskussion, und natürlich werde ich zurückgehen und sagen: „Ja, wir können wahrscheinlich anfangen, darüber nachzudenken, das zu konsolidieren.“ Und ich habe sogar ein, ich meine, ich habe immer noch das Arbeitsblatt, und ich habe tatsächlich mit einer Reihe anderer Organisationen zusammengearbeitet, wiederum bei Netskope, die dieselbe Herausforderung hatten. Und ich habe quasi gesagt, dass wir diese Liste von etwa 250 verschiedenen Technologien haben und wie sie letztendlich, vielleicht konsolidiert werden können, quasi phasenweise. Ihre erste Phase wird also diese sein, Phase zwei, Phase drei. Jetzt können Sie mit der Konsolidierung beginnen, denn es gibt viele Dinge, die sich überschneiden, oder? Wenn wir uns wichtige Funktionen ansehen, die sich möglicherweise mit anderen Technologien überschneiden, die Sie möglicherweise bereits haben, gibt es viele Funktionen. Ich stimme Ihnen voll und ganz zu. Ist es nicht, es ist nicht immer für jemanden sichtbar. Und es könnte sein, dass du von diesem neuen, glänzenden, neuen Ding hörst und denkst, okay, das, das wäre toll, wir können das einbringen, aber jetzt überschneidet sich das vielleicht mit etwas anderem, das ich habe. Also, muss ich das quasi ersetzen? Ich habe das als Analogie. Ich habe das Gleiche mit meiner Frau und mein Kleiderschrank ist so, ich kann nicht mehr rein, also wenn ich etwas Neues reinbringen will, muss ich etwas loswerden. Also, im Moment ist es dem sehr ähnlich, oder? Aber in diesem Fall denke ich, aus unserer Sicht als CISO, nun ja, wenn ich eine Sache reinbringe, muss ich wahrscheinlich drei Dinge loswerden. Letztlich sehe ich diesen Optimalpunkt, den ich hatte, wir hatten letzte Woche wieder diese großartige Diskussion, unser Kundenbeirat, und der Sweetspot ist quasi, unter 10 zu kommen, oder? Wenn Sie unter 10 Technologien herausholen können, tun sie wieder alle, was sie können, und sie sind integriert und sie sind offen und sie sprechen miteinander, und sie nutzen natürlich die neuesten Vorteile dieser Art von Dingen. Sie decken das also von einem Tech-Stack aus ab und reduzieren es auf eine überschaubarere Ebene. Das ist wirklich der Sweetspot. Ich weiß, dass andere Organisationen sagen werden: „Nun ja, wir können nie auf 10 kommen, aber wir werden versuchen, auf 20 runterzukommen.“ Das ist letztlich der Ort, an dem du, du willst irgendwie sein. Und ich denke, es gibt immer noch einen Bedarf an Einzelprodukten, wenn Sie einen bestimmten Anwendungsfall haben, aber jetzt erleben Sie all diese Konsolidierung und dieses Plattformspiel, über das wir sprechen. Es gibt diese Funktion, bei der alles auf Microservices basiert und man letztendlich, ja, Microservices auf Plattformen ausführen kann. Es ist eine intelligentere Art, diese Dinge zu tun.

42:57

Ja, absolut. Ja, wir haben noch ein paar Minuten, also kommen wir zum Ende. Wir haben offensichtlich über Dinge gesprochen, die aufregend sind, und ebenso über Dinge, die herausfordernd sind. Aber was ist mit Dingen, die unerwartet sind? Worauf sind Sie im letzten Jahr oder vielleicht davor gestoßen? Es ist, als ob du es dir ansiehst und denkst: „Hmm, das war genau das Gegenteil von dem, was ich erwartet hatte.“

43:22

Ja, ich glaube, mit, ich meine, ich kann zur KI zurückkehren, und ich wusste irgendwie, dass KI explodieren würde. Ich wusste, dass KI durchstarten würde. Ich glaube, ich habe 2014 einen Artikel darüber geschrieben, bereit für das KI-Zeitalter. Und ja, wir haben alle irgendwie darauf gewartet, darauf gewartet, darauf gewartet und es hieß: „Es wird bald passieren, es wird bald passieren.“ Ich schätze, das war es nicht, ich meine, nicht dieses Jahr, aber ja, in den vergangenen Jahren, nun, ich habe es nicht ganz erwartet, es fühlte sich an, als ob es so war, es würde vielleicht nie passieren. Es war, als wären die Anwendungsfälle nicht da für, ich meine, ML, ja, wir haben ML seit vielen, vielen Jahren. Wissen Sie, wir haben zum Beispiel dort einen Mehrwert gesehen. Aber die ganze Art, wenn wir über Dinge wie GENai sprechen, haben wir nicht, ich meine, ich habe vor vielen Jahren einen GENai-Dienst benutzt, und er war, er war hilfreich. Ich war aus der Sicht der Notizen hilfreich und habe all diese Dinge protokolliert. Es ist wirklich super hilfreich. Und ich dachte, großartig. Das ist ein großartiger Anwendungsfall. Aber ich hatte nicht wirklich plötzlich mit dieser explosionsartigen Zunahme der GenAI- und KI-Nutzung gerechnet. Und es ging so schnell und fast überraschend, als ich wusste, dass es passieren würde. Aber ich schätze, das war etwas Unerwartetes. Innerhalb weniger Wochen fühlte es sich an, als würden ganze Unternehmen jetzt das tun, was ursprünglich war, sie bewerten Anbieter von Cloud-Diensten und solche Dinge. Und dann, zwei Wochen später, machen sie das jetzt bei neuen Anbietern und dann auch bei bestehenden Anbietern, die ständig neue Funktionen hinzufügen, was meiner Meinung nach eine der größten Herausforderungen ist. Also, wie jetzt, wenn ich mit anderen CISO spreche, sagen sie einfach, dass unser Team mit neuen Technologien oder bestehenden Technologien, die das hinzugefügt haben, überschwemmt wird. Es ist einfach, es gab gerade diese Explosion. Also, ich schätze, das war die jüngste unerwartete Herausforderung. Aber ja, das war also, das war vor ein paar Jahren. Das konnten wir vor ein paar Jahren nicht leben, aber es ist immer noch da.

45:15

Nett. Fantastisch. Ich hoffe, Sie haben damals, als Sie diese Prognose getroffen haben, auch eine Menge Nvidia-Aktien gekauft und machen das jetzt wieder wett. Lass uns abschließen, oder? Du hast großartige Erfahrung als CISO. Sie verbringen eine Menge Zeit damit, mit anderen CISOs, CIOs und wichtigen Entscheidungsträgern zu chatten. Für jemanden, der gerade seine Karriere im Cyberbereich beginnt und das Ziel hat, eines Tages wie ein CISO oder CSO zu werden. Welchen Ratschlag würdest du ihnen geben?

45:43

Ich denke, für mich wäre es immer, ich meine, ja zu sagen, wenn man sich eine Gelegenheit bietet, auch wenn es nicht so ist, vielleicht denkst du, dass es deine Art von Karriere ist, und du sagst vielleicht ja dazu. Und noch einmal, ich würde sagen, auf jeden Fall, geh raus. Sprechen Sie mit anderen CISOs, lernen Sie von anderen CISOs, richtig? Als ich mit dieser Karriere begann, wünschte ich, ich hätte es getan, wir hatten wirklich keine CISOs, die ich fragen könnte. Wir mussten quasi bei der Arbeit lernen. Ja, ich denke, jetzt haben wir diese großartige Gelegenheit, und ich denke, die meisten CISOs sind ziemlich offen und freuen sich, Gedanken auszutauschen, oder? Ich meine, nun, in diesem Podcast, richtig? Gedanken und Erfahrungen austauschen und solche Dinge, wir sind alle, ich glaube, wir sind ich, für mich persönlich würde ich die Branche jedenfalls gerne an einem besseren Ort verlassen als zu der Zeit, als ich in diese Branche eingetreten bin, oder? Das ist immer ein gutes Zeichen dafür, dass du versuchst, etwas zurückzugeben. Für mich wäre es also, ja, gehen, wenn Sie nachdenken und wirklich ein CISO werden wollen, gehen Sie und sprechen Sie mit anderen CISOs und versuchen Sie, so viel Zeit mit ihnen zu verbringen. Aber geh auch zu Veranstaltungen. Gehen Sie zu, wenn Sie die Gelegenheit haben, zu einem Abendessen oder ähnlichem zu gehen, und verstehen Sie einfach, wie, hören Sie sich die Herausforderungen an und denken Sie darüber nach, wie Sie möglicherweise dazu beitragen könnten, einige dieser Herausforderungen zu lösen. Wir brauchen auf jeden Fall Problemlöser in dieser Branche, oder? Je mehr Problemlöser, desto besser. Wenn Sie über diese Fähigkeiten oder diesen Appetit oder dieses Interesse an diesem Bereich verfügen und ein großartiger Problemlöser sind, dann ist dies definitiv die richtige Karriere für Sie.

47:05

Fantastisch. Tja, Neil, damit danke ich dir vielmals für deine Zeit heute und für dich und deine Weisheit. Es war toll, dieses Gespräch mit dir zu führen. Ich weiß es wirklich zu schätzen. Prost.

47:15

Ja, nein. Danke, Raghu.

‍