Discutindo Splashtop' Conselho Consultivo de Segurança, Riscos Cibernéticos e Repensando a Produção de Software com o Perito em Segurança Cibernética Sebastian Goodwin
Por Mark Lee, CEO, e Co-Fundador, Splashtop
Recentemente, a Splashtop tornou pública uma novidade do seu Conselho de Segurança em dezembro de 2020: Sebastian Goodwin. Sebastian é pesquisador de segurança cibernética, palestrante, consultor corporativo, professor adjunto da Escola de Informações da UC Berkeley e Diretor de Segurança da Informação (CISO) da Nutanix. Ele possui mais de 20 anos de experiência ajudando empresas da Global 2000 a gerenciar o risco cibernético em escala.
Sebastian conversou com o CEO da Splashtop, Mark Lee, sobre as razões pelas quais ele se juntou ao Conselho de Segurança da Splashtop, ele é apaixonado por questões de segurança e pela evolução da segurança nesta era de ataques de ransomware e outras ameaças de segurança cibernéticas.
Mark Lee: Sebastian, estamos muito contentes por fazeres parte do nosso Conselho Consultivo de Segurança. Acredito que descobriste primeiro o Splashtop através de um dos nossos investidores, certo?
Sebastian Goodwin: Sim, foi isso mesmo. Ele sabia da minha formação e a Splashtop estava procurando consultores de segurança, nossa parceria estava premeditada.
Marca: Tens uma enorme experiência profissional em segurança cibernética, com as tuas actuais funções como CISO na Nutanix e membro da direcção da SADA, um Google Cloud Premier Partner e fornecedor de soluções, bem como as tuas posições de liderança no passado relacionadas com segurança em Palo Alto Networks, Robert Half, PeopleSoft, e IBM, entre outros. Tens uma visão em olhos de pássaro de como as empresas lidam com o risco cibernético. Em geral, até que ponto achas que as organizações se estão a aproximar da segurança nos dias de hoje?
Sebastian: Atualmente, as empresas estão enfrentando riscos à segurança cibernética sem precedentes. Como muitas notícias recentes destacaram, ataques ransomware são uma enorme ameaça. Os invasores perceberam que podem atacar softwares amplamente utilizados de diferentes setores e mercados. As empresas precisam repensar como produzem seu software para manter sua segurança e a confiança dos clientes em alta.
Marca: Podes dizer mais sobre como as empresas precisam de "repensar" a forma como produzem software?
Sebastian: Claro. Repensar significa encontrar o equilíbrio perfeito entre a segurança em uma ponta e a agilidade dos negócios na outra. Investir muito na entrega rápida de novos produtos e recursos aos clientes pode significar menos custos em segurança. Mas investir na segurança leva tempo e pode diminuir a agilidade e a sua capacidade competitiva.
A chave é encontrar o ponto certo ao longo deste espectro, onde você pode atender seus clientes com os produtos e recursos aprimorados que eles exigem, ao mesmo tempo em que torna os seus produtos o mais seguros possível.
Marca: Os clientes têm vindo a esperar que obtenham as últimas e melhores funcionalidades, rapidamente, mas podem não estar conscientes dos riscos de usar software que não tenha sido minuciosamente controlado. Vês isso a mudar?
Sebastian: Tudo isso faz parte de uma mudança maior na conscientização dos riscos cibernéticos. Claramente, qualquer empresa ou indivíduo que tenha presenciado um ataque em primeira mão entende a importância de boas práticas de segurança cibernética, mesmo que eles cheguem a essa realização tarde demais para minimizarem o impacto de um ataque. Aqueles que ainda não sofreram um ataque cibernético se enquadram em uma das seguintes categorias: ou estão comprometidos em proteger proativamente a si mesmos e a suas empresas, ou estão se tornando um alvo fácil. Um ataque pode custar toda a sua operação.
Mark: O que é que companhias de software como a nossa podem fazer para ajudar a proteger os nossos clientes de se tornarem vítimas da ciber-segurança?
Sebastian: O processo começa com prestar muita atenção na segurança como um todo e projetar produtos de software seguros. Por exemplo, a autenticação de dois fatores para autenticação em serviços em redes públicas são estritamente necessários.
Adotar uma postura de confiança zero, o que significa não confiar em nada nem ninguém. Suponha que tudo será eventualmente violado e trabalhe para limitar esse raio de explosão — o termo que o setor de segurança usa para descrever o limite de um determinado ataque. Por exemplo, faça com que, se um usuário em uma rede possuir um dispositivo comprometido, o malware não possa se espalhar além desse usuário e infectar outros dispositivos na rede.
Marca: Estás empenhado em ensinar as empresas a melhorar as suas práticas de segurança cibernética. Podes falar um pouco sobre esse aspecto do teu trabalho?
Sebastian: Acho crucial que as organizações sejam capazes de medir e gerenciar seus riscos cibernéticos para que seja possível proteger proativamente seus negócios. Uma maneira de ajudar é como palestrante de segurança cibernética e consultor de CEOs e conselhos de administração. Servir no seu Conselho de Segurança é um exemplo dessa função. Também ofereço um curso de pós-graduação que criei na UC Berkeley, no qual eu ajudo os futuros líderes de tecnologia e negócios a se tornarem mais conscientes sobre o gerenciamento de riscos cibernéticos em níveis executivos e pessoais.
Marca: Estás claramente apaixonado por gerir riscos cibernéticos. De onde vem essa paixão?
Sebastian: Bem, eu nem consigo lembrar quando comecei a me interessar por computadores. Eu aprendi a programar muito jovem, quando os modems eram 2400-baud, era o amanhecer da web mundial. Sempre fui fascinado por hackers e pela criatividade e habilidade envolvida nos seus ataques. Pense dessa forma, primeiro você precisa entender profundamente como um sistema foi construído para funcionar de uma determinada maneira, e então você precisa descobrir maneiras de fazer esse sistema fazer coisas que ele não foi projetado para fazer.
É um quebra-cabeça fascinante e um grande desafio. Uma história engraçada: no ensino médio, quase fui expulso porque consegui quebrar o software de criptografia de disco recém-implantado do departamento de computadores. O que me salvou foi que alguns dias antes um dos meus professores havia criado um desafio para “qualquer aluno que pudesse hackear a criptografia inquebrável”. Felizmente, consegui escapar da expulsão.
Marca: Estamos contentes por teres decidido continuar a trabalhar para evitar ataques em vez de te juntares ao lado negro do hacking nocivo!
Sebastian: Eu também! Mas eu acho interessante admirar o nível de habilidade dos hackers. Quando contrato profissionais de segurança para as minhas equipes, preciso me certificar de que eles entendam toda essa pilha de tecnologia. Um universitário recém-formado que é ótimo em escrever códigos precisa de muito treinamento para compreender todas as maneiras de como o software que eles estão construindo pode ser contornado. É um desafio sem fim, mas também é infinitamente fascinante.
Marca: Muito obrigado por esta conversa, Sebastian. E obrigado por te juntares ao nosso Conselho Consultivo de Segurança para ajudar a Splashtop a melhorar continuamente a segurança dos produtos que entregamos.
Sebastian: Agradeço muito a disposição da Splashtop. Como a minha empresa atual, Nutanix, a Splashtop está comprometida em olhar para o futuro e se manter proativa perante os inúmeros riscos de segurança. Esse é o único ponto de partida para descobrir como criar soluções mais seguras para nossos clientes.