Q & A sobre los riesgos cibernéticos y el replanteamiento de la producción de software

QA Mark y Sebastian

Hablamos del Consejo Asesor de Seguridad de Splashtop, de los riesgos cibernéticos y del replanteamiento de la producción de software con el experto en ciberseguridad Sebastian Goodwin

Por Mark Lee, director general y cofundador de Splashtop

Splashtop ha hecho pública recientemente una incorporación a nuestro Consejo Asesor de Seguridad , que anunciamos en diciembre de 2020: Sebastian Goodwin. Sebastian es un investigador de ciberseguridad, orador principal, asesor corporativo, profesor adjunto en la Escuela de Información de la UC Berkeley y Director de Seguridad de la Información (CISO) en Nutanix. Tiene más de 20 años de experiencia ayudando a las empresas de la lista Global 2000 a gestionar los riesgos cibernéticos a escala.

Sebastian habló recientemente con el director general de Splashtop, Mark Lee, sobre las razones por las que se unió al Consejo Asesor de Seguridad de Splashtop, por qué le apasionan los temas de seguridad y cómo ve el panorama de la seguridad en esta época de aumento de los ataques de ransomware y otras amenazas a la ciberseguridad.

Mark Lee: Sebastian, estamos encantados de que formes parte de nuestro Consejo Asesor de Seguridad. Creo que conociste Splashtop a través de uno de nuestros inversores, ¿verdad?

Sebastian Goodwin: Sí, así es. Sabía de mi experiencia y que Splashtop buscaba asesores de seguridad, así que tenía sentido reunirnos.

Marca: Tiene una enorme experiencia profesional en ciberseguridad, con sus funciones actuales como CISO en Nutanix y miembro de la junta directiva de SADA, un socio principal de Google Cloud y proveedor de solucionesAsí como sus anteriores puestos de liderazgo relacionados con la seguridad en Palo Alto Networks, Robert Half, PeopleSoft e IBM, entre otros. Usted tiene una visión de pájaro de cómo las empresas abordan el riesgo cibernético. En general, ¿en qué medida cree que las organizaciones están abordando la seguridad hoy en día?

Sebastian: Las empresas se enfrentan hoy a riesgos de ciberseguridad sin precedentes. Como han puesto de relieve las noticias recientes, el ransomware es una gran amenaza. Los atacantes se han dado cuenta de que pueden ganar ventaja atacando el software que se utiliza ampliamente en diferentes industrias y mercados. Las empresas tienen que replantearse cómo producen el software para mantener mejor la seguridad y conservar la confianza de los clientes.

Marca: ¿Puede decirnos algo más sobre la necesidad de que las empresas se "replanteen" la forma de producir software?

Sebastian: Claro. Repensar significa encontrar el equilibrio adecuado en el espectro entre la seguridad en un extremo y la agilidad empresarial en el otro. Invertir mucho en la entrega rápida de nuevos productos y funciones a los clientes puede significar invertir menos en seguridad. Pero invertir en seguridad lleva tiempo y puede disminuir la agilidad y la capacidad de seguir siendo competitivos.

La clave está en encontrar el punto adecuado en el espectro en el que pueda servir a sus clientes con los productos mejorados y las características que demandan, y al mismo tiempo hacer que sus productos sean lo más seguros posible.

Marca: Los clientes esperan obtener lo último y lo mejor de forma rápida, pero no son conscientes de los riesgos de utilizar un software que no ha sido investigado a fondo. ¿Cree que esto va a cambiar?

Sebastian: Todo forma parte de un cambio más amplio en la concienciación sobre los riesgos cibernéticos. Está claro que cualquier empresa o individuo que haya sufrido un ataque de primera mano comprende la importancia de las buenas prácticas de ciberseguridad, aunque se dé cuenta demasiado tarde para no sufrir el impacto de un ataque. Los que aún no han sufrido un ciberataque entran en una de estas dos categorías: O bien se comprometen a protegerse a sí mismos y a sus empresas de forma proactiva, o bien se convierten en un objetivo fácil. Un ataque puede costarles el negocio.

Marca: ¿Qué cosas pueden hacer las empresas de software como la nuestra para ayudar a proteger a nuestros clientes de ser víctimas de la ciberseguridad?

Sebastian: Empieza por ser muy consciente de la seguridad y diseñar productos de software que sean seguros por defecto. Por ejemplo, hacer que la autenticación de dos factores sea un valor por defecto para autenticarse en tus servicios a través de redes públicas.

Adopte una postura de confianza cero, lo que significa no confiar en nada ni en nadie. Asuma que todo será violado en algún momento y trabaje para limitar su radio de explosión, el término de la industria de la seguridad que describe hasta dónde se extiende un determinado ataque. Por ejemplo, haz que si un usuario de la red tiene un dispositivo comprometido, el malware no pueda extenderse más allá de ese usuario para infectar otros dispositivos de la red.

Marca: Usted se dedica a enseñar a las empresas a mejorar sus prácticas de ciberseguridad. ¿Puede hablarnos un poco de ese aspecto de su trabajo?

Sebastian: Creo que es crucial que las organizaciones sean capaces de medir y gestionar eficazmente su riesgo cibernético para que puedan proteger proactivamente su negocio. Una de las formas en que ayudo es como conferenciante y asesor independiente en materia de ciberseguridad para directores generales y consejos de administración. Formar parte de su Consejo Asesor de Seguridad es un ejemplo de esta función. También imparto un curso de posgrado que creé para la UC Berkeley, en el que ayudo a los futuros líderes tecnológicos y empresariales a ser más hábiles en la evaluación y gestión de los ciberriesgos tanto desde el nivel ejecutivo como del consejo de administración.

Marca: Está claro que le apasiona la gestión de los ciberriesgos. ¿De dónde viene esa pasión?

Sebastian: Bueno, me interesan los ordenadores desde que tengo uso de razón. Aprendí a programar cuando era muy joven, en la época de los módems de 2400 baudios y los albores de la web mundial. Siempre me han fascinado los piratas informáticos y la creatividad y habilidad que conlleva la piratería. Piénsalo. Primero hay que entender a fondo cómo se ha construido un sistema para que funcione de una manera determinada, y luego hay que idear formas de hacer que ese sistema haga cosas para las que no fue diseñado.

Es un rompecabezas fascinante y un reto. Una anécdota curiosa: En el instituto casi me expulsan cuando fui capaz de burlar el software de encriptación de disco completo recién implantado por el departamento de informática. Lo único que me salvó fue que uno de mis profesores había lanzado casualmente un reto a "cualquier estudiante que pudiera hackear el cifrado indescifrable". Por suerte, me libré de la expulsión.

Marca: Nos alegramos de que hayas decidido seguir trabajando para prevenir los ataques en lugar de unirte al lado oscuro de la piratería dañina.

Sebastian: ¡Yo también! Pero creo que apreciar el nivel de habilidad de los hackers es importante. Cuando contrato a gente de seguridad para mis equipos, me aseguro de que comprendan toda la pila tecnológica. Un recién graduado de la universidad que es muy bueno escribiendo código requiere mucho entrenamiento para llegar al punto en que pueda comprender todas las formas en que el software que está construyendo puede ser burlado. Es un reto interminable, pero también es infinitamente fascinante.

Marca: Muchas gracias por esta conversación, Sebastian. Y gracias por unirte a nuestro Consejo Asesor de Seguridad para ayudar a Splashtop a mejorar continuamente la seguridad de los productos que ofrecemos.

Sebastian: Aprecio la actitud de seguridad de Splashtop. Al igual que mi empresa actual, Nutanix, Splashtop se compromete a mirar hacia adelante y ser proactivo sobre los riesgos de seguridad. Ese es el único punto de partida responsable para averiguar cómo construir las soluciones más seguras para nuestros clientes.

Banner de Prueba Gratuita en la Parte Inferior del Blog