Blake: Bill. Muito obrigado por se juntar a mim no podcast. É ótimo tê-lo aqui.
Bill: Bem, obrigado pelo convite. É um prazer, uh, ser convidado.
Blake: Bem, está na Mitel há cerca de seis meses. O que achou até agora da adaptação à cultura da empresa e de começar a construir a sua própria visão de segurança?
Bill: Faz apenas seis meses, por isso ainda estou, em muitos aspetos, a molhar os pés, mas, para ser honesto, não é a minha primeira volta aqui na Mitel. é a minha segunda volta. A primeira foi no final dos anos 90, o meu segundo emprego depois de sair da escola e era marketing de produto, na altura estava na equipa de marketing de produto da Mitel.
Várias pessoas com quem trabalhei há 25 anos ainda estão na organização. Por isso, foi uma transição muito fácil para mim porque muitas das pessoas e da cultura de que me lembro. Da minha primeira passagem de cinco anos, ainda estão presentes. Por isso, isso dá-me uma excelente base de familiaridade para assumir este novo papel.
Blake: Mencionou que começou no marketing de produtos. Passou por diferentes funções de vendas. O que é que o atraiu para o mundo cibernético dos CISO?
Bill: Não sei se existe um caminho típico para chegar a CISO, mas se existe, acho que não o segui. A primeira metade da minha carreira foi no sector das telecomunicações. Assim, com o advento da mudança para a voz sobre IP, isso deu-me a introdução ao mundo das TI e, em última análise, ao mundo da segurança.
A segunda metade da minha carreira tem sido na área da segurança informática. E, ao longo do meu percurso, desempenhei funções em vendas, marketing, gestão de produtos e entregas, o que me deu uma visão muito completa da forma como as empresas e as organizações funcionam, e todos estes antecedentes e experiência vão ajudar-me a ser um melhor CISO, porque precisamos de segurança, e não apenas de segurança.
Na minha opinião, precisamos que a segurança atue como um facilitador do negócio. Então, como é que fazemos negócios em segurança? Penso que as diferentes perspetivas da minha formação ajudarão a contribuir para isso. Para isso.
Blake: Acho que é uma ótima perspetiva. E falemos um pouco sobre o papel do CISO. Parece haver cada vez mais responsabilidades acumuladas sobre os CISO quase todos os dias. Mas, especialmente nos últimos anos, tem havido, nalguns casos, vimos na imprensa casos de CISOs a serem responsabilizados no caso de grandes incidentes de segurança e, uh, apenas exigências crescentes sobre o negócio e a análise dos riscos em curso.
Como é que se lida com isso?
Bill: Oh, uh, um dia. Um dia de cada vez. Sabes, um dia de cada vez. Tens toda a razão. É, hum, eu acho. Se olharmos para a história do advento ou das origens da segurança informática, acho que começou realmente com as infraestruturas, certo? De repente, o nosso negócio está aberto à Internet.
Precisamos de uma firewall e, depois, os maus da fita passam por cima das firewalls e, em seguida, acrescentam-se mais peças e, com isso, o mundo, toda a gente, em todo o mundo, se apercebeu de que proteger a informação e os dados é uma responsabilidade de todos. É uma responsabilidade de todos. E os casos que mencionou, sim, sem dúvida, no último ano, mais ou menos, houve alguns casos de criação de precedentes em que os CISO e, potencialmente, os conselhos de administração foram considerados pessoalmente responsáveis.
E eu não sou o advogado da família, mas, na minha opinião, o facto de a violação ou o ataque ter acontecido é menos importante do que o facto de a responsabilidade ter sido atribuída, e a responsabilidade está mais relacionada com o que foi feito para encobrir a violação ou com a forma como esta foi tratada e com a comunicação.
Assim, em ambos os casos, foram encontrados indivíduos, ou acusados de. Tentar esconder factos e enganar o público quanto à dimensão e gravidade da violação. É definitivamente stressante. Uma das coisas que perguntei e que recomendo que outros CISO perguntem é se o papel do CISO está coberto pelo seguro de proteção de diretores e administradores (DNO) da empresa, certo?
É tal e qual como se estivéssemos a prestar serviços profissionais, uh, teríamos, uh, o seguro de omissões do Arizona, uh, e cobertura, uh, de uma forma semelhante. Os CISO não devem ser responsabilizados por fazerem o seu trabalho ou, se estiverem a ser negligentes, isso é uma coisa. Mas se estiver a fazer tudo o que está ao seu alcance para proteger uma organização e as informações e dados da organização, ainda assim podem acontecer coisas más.
E, uh, queremos ter a certeza de que estamos protegidos.
Blake: Esse é um ponto muito bom. E, sim, na ambiguidade da arena cibernética, é muito fácil cometer um deslize. Podemos ser uma organização muito bem defendida, ter todos os pontos nos is. E, mesmo assim, as violações vão acontecer de vez em quando. É um problema que se coloca a qualquer organização, independentemente do seu nível de sofisticação e capacidade de defesa.
Agora, foi interessante, mencionou a responsabilização dos CiSO. Algumas das pessoas que fizeram furor na imprensa, e é óbvio que não precisamos de entrar em pormenores, mas houve uma espécie de reviravolta extra, certo, de tentar esconder as coisas debaixo do tapete, e vimos certamente, estou baseado em Washington, D. C., nos EUA, e vimos um impulso do lado regulamentar para exigir, começar a exigir realmente mais transparência e, sabe, obrigar à divulgação cibernética após um determinado período de tempo ou não. Sei que está sediado em Otava. Como é que a arena da política cibernética no Canadá se compara e contrasta com a dos EUA? Qual é a história da política cibernética?
Bill: Bem, é justo. Sim. E, e eu posso até aproveitar esta oportunidade para expandi-la. A Mitel é global. Temos aproximadamente 80 locais em todo o mundo e cada país em cada região tem versões, ou está a pensar em versões de legislação semelhante. Por isso, considero que muita da legislação atual está orientada para a privacidade.
Penso que toda a gente conhece o acrónimo GDPR, que é a legislação europeia em matéria de privacidade. Se olharmos para os segmentos da América do Norte, a Califórnia, a nível estatal, foi provavelmente o estado mais pró-ativo a apresentar legislação sobre privacidade. O Canadá tem o projeto de lei C 26, que penso estar na sua leitura final, que fala de infraestruturas críticas de segurança e de privacidade.
Muitos dos países do mundo, incluindo os EUA e o Canadá, estão a trabalhar nas suas próprias versões de legislação sobre privacidade. A base dessa legislação é, basicamente, a necessidade de os indivíduos controlarem as suas próprias informações ou dados. Assim, toda a gente vê casos em que inserimos a nossa plataforma de redes sociais aqui, carregamos em apagar e pensamos que a nossa conta foi apagada, mas na realidade a informação ainda lá está.
Por isso, é preciso ser capaz de se apropriar das suas próprias informações e dados, e há um slogan por aí, ou acho que uma abordagem chamada “Privacy by Design”, que realmente incorpora isso. Blake, uh, você inscreve-se num site, hum, se ele coloca um, você tem que colocar um monte de informações, ok, ótimo. Deve saber perfeitamente para que é que essa informação vai ser utilizada.
Vai ser guardada? E se a quisermos de volta, devemos poder apagá-la e ter o conforto de saber e a tranquilidade de saber que, quando carregamos no “apagar”, ela desaparece. É essa a questão fundamental. Outra legislação que encontro, uh, está a sair, uh, visando indústrias ou áreas específicas, sendo a infraestrutura crítica a mais prevalecente neste momento.
E estamos a ver isto, infelizmente, entre a Rússia e a Ucrânia. A sua infraestrutura crítica, a sua rede elétrica, o seu abastecimento de água, se for alvo de um ataque cibernético e se a perder, produzirá danos reais. Assim, ter esse dever de cuidado e ter os seus programas de segurança a um nível respeitável ou um requisito mínimo é definitivamente importante. Estamos a começar a ver a regulamentação a entrar em ação nestas áreas para garantir que toda a gente, que têm a conformidade agora como uma razão para garantir que põem em prática os controlos de segurança necessários.
Blake: Tem sido certamente revelador ver algumas das ameaças ciberfísicas realmente alarmantes do Nexus, como aludiu ao conflito híbrido Rússia-Ucrânia. Houve ataques à rede elétrica, os primeiros do género, que cortaram a luz às pessoas no auge do inverno, em 2015 e 2016.
São coisas realmente assustadoras e que continuam a acontecer atualmente. No que diz respeito ao cenário de ameaças para as telecomunicações, também são infraestruturas críticas por direito próprio. Quais são os maiores riscos?
Bill: Sim. Onde estão os maiores riscos? No caso das telecomunicações, acho que há dois níveis, certo? Muitas pessoas pensam nas operadoras públicas, o que significa que as operadoras públicas têm um nível de impacto. Penso que toda a gente já assistiu a interrupções de vários atores importantes no Canadá.
A Rogers Communications é um dos principais operadores e não se tratou de um ataque cibernético, mas mesmo assim foi um problema de atualização de TI, ou seja, toda a rede de comunicações ficou offline. Vimos os impactos em primeira mão para os serviços do 911, hospitais e outras organizações que dependiam deles para as suas comunicações públicas, Internet e comunicações telefónicas públicas.
A operadora pública, o espaço é, na minha opinião, uma infraestrutura crítica e o impacto da sua remoção é potencialmente catastrófico, do ponto de vista da Mitel. Estamos mais no lado da comunicação empresarial e com todas as comunicações hoje em dia, na altura em que fiz a minha primeira visita, mensagens unificadas, penso eu, era o rótulo dado ao precursor de, O que tomamos por garantido agora em Teams e Zoom e outros, uh, online, uh, chatting e vídeo, uh, sessões, certo?
Na altura, era uma novidade que estava a começar e agora já é esperado. No que diz respeito aos sistemas de comunicações empresariais, um dos principais riscos, na minha opinião, é a forte integração e colaboração com dados, partilha de ficheiros e correio eletrónico, certo? Assim, a linha entre voz e informação e dados é extremamente estreita ou ténue.
Começou a melhorar, mas se olharmos para as equipas ou para algumas destas sessões de conversação, pode ser a nossa ferramenta interna e está fortemente integrada no nosso ambiente de dados, no armazenamento de ficheiros, bem como no nosso ambiente de voz, para fazer chamadas e adicionar pessoas.
Mas assim que adiciona uma parte externa à sua. Chamada de vídeo, do ponto de vista do chat, de repente, torna-se muito difícil, muitas vezes, restringir a informação que eles veem no chat, nas partilhas de ficheiros e em tudo o resto. E assim, acidentalmente, pode estar a expor. Informações sensíveis a terceiros, mesmo sem nos apercebermos disso.
Da mesma forma, do ponto de vista do ataque e da superfície de ataque, acho que essa convergência de voz e dados e a tentativa de ajudar na colaboração contínua aumentam o risco para empresas como a Mitel, que produzem e fornecem produtos para ajudar a facilitar a colaboração e a comunicação.
Blake: Gostaria de saber onde é que a IA se encaixa nesta mistura? Porque sinto que estou constantemente a ser solicitado. Estou na minha chamada Zoom ou no meu Google Meet, ou seja o que for, e é do género: “Tem um resumo de IA”. E eu penso, bem, e se esta for uma chamada sensível ou algo do género, ou se estivermos a discutir alguma informação proprietária, e a IA estiver a cuspir alguns dados algures ou a absorvê-los?
Preocupo-me sempre com isso. Que tipo de tendências de IA está a observar? Boas, boas ou más?
Bill: Ah, está bem. É justo. Em primeiro lugar, eu sou um cético declarado no que diz respeito à IA. Vou pôr esse aviso logo à partida. Fiz muita investigação sobre a IA e as suas origens, acho que provavelmente, provavelmente, e sei que tenho de ultrapassar isso, mas, para mim, é a utilização incorreta do termo inteligência artificial, para os geeks aqui na linha, os colegas geeks na linha, porque sim, eu sou um deles, e as origens remontam à Segunda Guerra Mundial e a Alan Turing.
Por isso, se quiserem ver um excelente documentário, quase documentário, docudrama, ou o que quer que seja, hum, uh, o Jogo da Imitação é, uh, fala sobre essa história. O trabalho que Alan Turing fez para decifrar os códigos alemães durante a Segunda Guerra Mundial, todos os algoritmos que criou, formam a base da IA moderna.
Todos os algoritmos que usamos hoje em dia têm as suas bases e origens no trabalho de Alan, nos anos 30 e 40. E há níveis claros, certo? E a inteligência artificial é o topo ou o quarto nível. Tudo o resto é aprendizagem automática. E esse é realmente o domínio em que nos encontramos.
O teste de Turing para a IA consiste em conseguir conduzir uma conversa com uma entidade e não ser capaz de distinguir entre um humano e uma máquina. Esta é a sua definição formal de IA. E estamos a começar a chegar lá. Penso que, com as falsificações profundas, estamos a chegar a essa IA, mas tudo o resto é aprendizagem automática.
Por isso, desculpem, vou sair do meu
Blake: Não, acho que os nossos ouvintes vão gostar dessa distinção. E Bill, só para ter a certeza, pode selecionar todas as imagens de semáforos antes de prosseguirmos com esta conversa? Quero ter a certeza de que não é uma IA a falar. Não, estou a brincar. Vê, no cômputo geral, a Gen AI e, e, sabe, ok, sim, a ajudar ou a prejudicar mais nos próximos 12 meses para ataques e
Bill: Ambos, uh, ambos. Eu vejo um enorme potencial para a automação, certo? E se me referir à segurança e aos nossos operadores de SOC, recebemos milhares ou dezenas de milhares de eventos por dia. É impossível para uma pessoa olhar para um ecrã e para cada um desses eventos e ser capaz de escolher a agulha numa pilha de agulhas.
E é aí que. A aprendizagem automática e as ferramentas podem realmente ajudar a separar o ruído, o sinal e a manter o rácio sinal/ruído baixo, certo? E isso do ponto de vista da segurança. Por isso, vejo benefícios para a sociedade, quer se trate de um documento de um paciente, de um médico, de uma transcrição para que nada seja esquecido, nas vendas, as ferramentas existem para captar as comunicações por correio eletrónico e encadear os fios e ser mais preciso, nas cotações e na capacidade de resposta, esse tipo de coisas.
De qualquer forma, estou a ver os benefícios, sem dúvida. Por outro lado, a parte assustadora é a forma como os modelos linguísticos e as ferramentas de IA estão a ser utilizados pelos piratas informáticos. Num caso, a ferramenta de IA de ML foi utilizada num evento de captura da bandeira.
O docker, embora o docker estivesse mal configurado, o modelo de IA conseguiu contornar os controlos e capturar a bandeira, embora a configuração não devesse ter permitido que isso fosse possível. E há outro artigo sobre a utilização de modelos de linguagem de grande dimensão para tentar tirar partido de vulnerabilidades do primeiro dia, certo?
Portanto, é conhecido, é anunciado, e agora os adversários vão tentar descobrir com que rapidez podem explorá-lo no terreno. Por isso, penso que, tal como muitas destas ferramentas, podem ser utilizadas para o bem ou para o mal. Dependendo de quem as está a usar. O último ponto que gostaria de referir, penso que é um aviso para as organizações e pessoas que as estão a implementar, é que têm de compreender os termos e condições.
É preciso entender como a ferramenta funciona. E o que quero dizer com isto é. E foi um caso público, a Siemens acabou por fazer um anúncio público de violação, sem querer implicar com eles, mas tinham programadores de software que.
Blake: Eles são uma empresa suficientemente grande. Acho que conseguem aguentar.
Bill: Os programadores pegaram no código e colocaram-no na versão pública do OpenAI para o corrigir.
Assim que o fazem, esse código é retido, como dados de treino. E assim, de repente, tem-se propriedade intelectual que está agora no domínio público. Por isso, é preciso saber para onde vão essas informações e dados. Quem é que mantém a propriedade dos mesmos. E, na verdade, foi por aí que começámos com a questão da privacidade: é possível reter informações e dados?
Deixando um modelo de IA, um modelo de ML, solto, como uma ferramenta, é necessário saber para onde vão as informações e os dados pessoais e da empresa, certificando-se de que não saem do ambiente sem serem convidados.
Blake: Sem dúvida. E é oportuno estarmos a discutir alguns destes riscos e oportunidades porque estamos no Mês da Consciencialização para a Cibersegurança e o tema deste ano é “Proteger o nosso mundo”. Não é uma tarefa fácil. Sei que disse que a Mitel tem 80 locais em todo o mundo, mas, para tentar colocar o Mês da Consciencialização Cibernética em termos mais concretos, como é que os líderes de segurança como você podem. Aproveitar o Mês da Consciencialização Cibernética para apoiar potencialmente os pedidos de orçamento de segurança ou outros objetivos que possam ter.
Bill: Sim. É o Mês da Consciencialização, metade, uh, todas as organizações acordam e dizem, Oh, é dia 1 de outubro. Não sei. O que é que vamos fazer? E a outra metade acorda e diz que é a 1 de novembro. Oh, raios. Esqueci-me. Pois é. Pois é. E, uh, sim, o Mês da Consciencialização para a Segurança, uh, acho que é, é importante, e como diz, para a consciencialização, certo, porque, sabem, os maus da fita estão sempre a falar, e, uh, se os bons da fita não falarem e partilharem informação, nós perdemos. Por isso, o Mês da Sensibilização para a Segurança é ótimo porque é basicamente uma oportunidade para falar de coisas que toda a gente precisa de saber.
Uma das melhores razões para o fazer é que a segurança tem impacto em nós, não apenas no trabalho. Mas tem tanto ou mais impacto em casa, certo? E muitas das dicas e truques e muitas das coisas que tentamos, no hidrogénio básico de segurança, que tentamos pôr em prática no escritório também beneficiam em casa.
Um exemplo simples é o de uma pessoa que, quando me viu pessoalmente, me parou e disse: “Nunca teria pensado nisto até o ter mencionado. É que toda a gente adora publicar fotografias. Aparentemente, não é possível comer uma refeição sem publicar uma fotografia dela primeiro.
Mas assim que publicamos uma fotografia do local onde estamos de férias e nos estamos a divertir imenso, estamos também a dizer ao mundo que não estamos em casa. E, de repente, a sua casa fica potencialmente vulnerável. Portanto, há consequências indesejadas. A outra coisa que eu acho, e falou sobre orçamentos e outros benefícios.
É praticamente uma norma geral. Em todas as empresas, os departamentos de segurança estão a lutar pelo orçamento. Se uma empresa tem a possibilidade de gastar um dólar para fazer 10 em vendas ou gastar um dólar para ajudar a proteger, vai gastar o dólar para fazer, para fazer mais receitas, certo?
Assim, a consciencialização pode ajudar a aumentar, aumentar a procura numa empresa ou numa organização, ou a destacar deficiências. Certo? Por isso, destacar, hã, ei, tivemos este número de ataques, ou parámos este número, ou, aqui está um número de incidentes que, que, que tivemos de resolver, o que é apenas uma boa informação geral e uma visão para, para as pessoas na empresa.
Em caso de dúvida, não cliquem nisto. Mas depois, quando traduzimos essa mensagem, os funcionários da empresa e os líderes seniores também estão a receber estas comunicações e e-mails. Por isso, quando se volta a falar do assunto, na altura do orçamento ou, se eles receberem um relatório mais detalhado sobre alguns dos incidentes, é como se dissessem, oh sim, desculpem, já tinham falado disso antes.
Porque é que não pararam com isto? E eles dizem, bem, podíamos beneficiar se tivéssemos esta ou aquela ferramenta, ou não tínhamos pessoal suficiente para analisar todos os alertas, certo? Pode utilizar a sensibilização para aumentar a visibilidade dos seus esforços, dos esforços do departamento de segurança dentro da organização.
E deve ser capaz de pagar dividendos novamente quando começar a pedir adições importantes ao seu programa.
Blake: Sim. E é muito frequente que a segurança seja vista como uma espécie de centro de custos, tal como a questão de multiplicar por 10 o seu investimento em vendas ou algo do género. É como, porquê, porquê atribuir isso? Estou a falar em termos gerais, claro, não estou a falar da minha empresa de telecomunicações, mas, sabe, porquê afetar isso à segurança? Por isso, sim, qualquer ferramenta, quer seja o Mês da Consciencialização Cibernética ou o que for, para reenquadrar essa conversa é definitivamente útil.
Gostaria de abordar algumas observações de Jenny Stille, diretora da U. S. Cyber Security, uma agência de segurança de infra-estruturas. Ela tem estado a liderar uma espécie de iniciativa “secure by design”, como lhe chama. Sei que mencionou anteriormente a privacidade desde a conceção, e ela disse, e passo a citar, que não temos um problema de cibersegurança. Temos um problema de qualidade de software.
Fim de citação. Qual é a sua opinião sobre isso?
Bill: Acho que é uma citação maravilhosa, porque coloca as coisas em perspetiva e todo o conceito de segurança desde a conceção está realmente a tentar deslocar o problema para a esquerda. E se pensarmos na forma como as coisas funcionam atualmente, os testes de qualidade começaram por estar no final do ciclo de desenvolvimento.
Então, o código está finalmente pronto para ser lançado e o produto está pronto para ser lançado. Está a passar pelos testes finais, testes de utilizadores, etc. E depois de tudo estar concluído, o produto vai para o departamento de qualidade, que encontra algo e, embora ninguém queira voltar atrás e abrir o código, já está atrasado, os comboios já saíram da estação, tratamos disso mais tarde.
E, quando damos por isso, o nosso produto é lançado com uma vulnerabilidade. Assim, a segurança desde a conceção, o conceito na minha mente, a forma como o interpreto, é que os requisitos de segurança devem ser tão importantes como os requisitos funcionais de qualquer produto que se esteja a construir. Assim, o facto de um botão, um botão de rádio, ter de ser vermelho ou azul é tão importante como garantir que não existe cross site scripting numa aplicação, certo?
Ou que se está a pedir MFA, etc., etc. Por isso, inclua os requisitos de segurança desde o primeiro dia. E certifique-se de que os requisitos de segurança são tão importantes como os requisitos funcionais. Essa é realmente a base para o princípio fundador da segurança por design.
Blake: E isso é tudo muito bonito e bom para enviar os seus próprios produtos e, sabe, o seu próprio código e com as suas próprias equipas. Agora, falou sobre a segurança da cadeia de fornecimento, o que é muito importante. Qual é o principal desafio de um líder de segurança na gestão cibernética eficaz da cadeia de abastecimento?
Parece-me tão avassalador quando se fala de terceiros, de quartos, de toda a linha. Dos fornecedores para os fornecedores, quem tem log4j no seu código, quem não tem, quem vai, é como se a nossa cabeça pudesse explodir.
Bill: Sem dúvida. Sim. Linha de visão. Quero dizer, é difícil, certo? Tudo pode ser feito com duas coisas: tempo e dinheiro. E tanto o tempo como o dinheiro são limitados. Então, quanto é que se pode fazer com a cadeia de abastecimento? E, na verdade, ligando-o de volta aos regulamentos, França, acabou de ser lançado.
Creio que estamos prestes a publicar legislação sobre a divulgação de produtos de construção. Se pensarmos bem, houve um par de produtos que foram objeto de violações de alto nível, em que o código-fonte ou o produto tinha malware introduzido ou backdoors introduzidos, que acabaram por expor toda a gente, todos os seus clientes.
Existe legislação em França, e estou certo de que outros países a seguirão, que diz o seguinte: “Assim que tiver conhecimento de que existe uma vulnerabilidade no produto que construiu, essa vulnerabilidade pode pôr em risco os utilizadores desse produto. É necessário notificar e tornar público esse facto. Por isso, quando voltamos à questão dos desafios que enfrentamos, o nível de informação, quantos fornecedores tem uma organização e, na Mitel, penso que se mede aos milhares.
Como é que se fazem as perguntas certas? Como é que se sabe que se está a obter todas as respostas certas? Como catalogar e reter todas essas informações? Mais uma vez, tudo se resume ao facto de eu ser um grande crente na tomada de decisões baseada no risco. Assim, se alguém estiver a enviar canetas e papel e não tiver qualquer ligação ao seu ambiente de TI, o risco será bastante baixo.
Se se tratar de um parceiro de serviços geridos, de um serviço SaaS e de um segundo apoio de terceiros para si, e se estiver no seu ambiente regularmente e tiver acesso a uma grande parte do domínio completo. Nesse caso, trata-se de um risco elevado e deve certificar-se de que se concentra nos fornecedores, parceiros e vendedores de maior risco e que efetua as devidas diligências para tentar manter-se seguro.
Blake: Sem dúvida. Penso que tudo se resume à definição de prioridades e, voltando ao nível micro, trabalhou ao nível das bases e, especialmente, na comunidade de segurança de Otava, pelo que sei, apoiando-a. O que me pode dizer sobre essa experiência e o que o espera a nível local?
Bill: Oh, isso é ótimo. Há sete anos, aceitei um convite de uma pessoa que agora é um grande amigo e que, na altura, estava a fazer autenticação multifatorial. Ele estava numa empresa de autenticação multifator. Eu estava à espera do discurso de vendas e, durante uma chávena de café, falámos de tudo, exceto do produto dele.
Surgiu o tema dos diferentes grupos de encontro e eventos de discussão sobre segurança e lamentámos o facto de não haver muitos em Otava e de os que havia serem pagos para jogar, o que nos levava a ver as mesmas 10 pessoas todos os meses. Por isso, criámos um grupo de encontro sobre segurança. Atualmente, chama-se Canadian Cyber Forum.
Ao longo dos anos, mais de 2500 pessoas juntaram-se a nós. Reunimo-nos mensalmente. E uma consequência disso é a Cimeira de Segurança Cibernética e Identidade, que está a chegar ao seu quinto ano de existência.
Portanto, uma feira de comércio cibernético aqui em Ottawa. E também estou a ajudar com o B Sides Ottawa, que vai estar no ar no final de novembro. Retribuir à comunidade. Acho que usei um dos meus slogans há pouco, hum, sabemos que os maus da fita estão a falar e a partilhar informação, por isso, se os bons da fita não falarem, perdemos.
E essa é realmente a principal razão pela qual tenho sido tão ativo na tentativa de promover fóruns e ambientes onde pessoas com ideias semelhantes se possam reunir e partilhar ideias.
Blake: Essa é uma questão muito boa. E é o sentido de comunidade no sector da cibersegurança. Honestamente, foi também o que me atraiu inicialmente para este sector. É óbvio que isso só se mantém enquanto houver pessoas como você a trabalhar para tornar essa comunidade tão ativa, comunicativa e colaborativa quanto possível, o que é ótimo.
Para terminar, perguntamos a todos os nossos convidados do podcast: a questão do facto engraçado, se preferir, ou o que é que não saberíamos sobre si, Bill, só de olhar para o seu perfil no LinkedIn?
Bill: Oh, é justo. Ouvi esta frase há uns dias, por isso vou começar com ela como um teaser. Eu disse que queria ser padeiro, mas não conseguia fazer massa suficiente. Hum.
Blake: Sou um pai novo. É uma ótima piada de pai, a sério.
Bill: Sim, sim, sim, sim, bem, não me faças começar. A escola secundária que frequentei acabou de fechar.
Está a ser construída uma super escola e todos os alunos vão mudar-se para lá. Quando a fecharam, alguém que lá estava tirou uma fotografia de uma lista de todos os recordistas, recordistas escolares, de atletismo, na parede. Tiraram uma fotografia e enviaram-ma.
Como a escola já não existe, aparentemente sou o recordista dos 400 metros com barreiras e dos 110 metros com barreiras para seniores. Por isso, sim, ninguém me pode tirar esses recordes porque a escola já não existe.
Blake: Uau, isso é impressionante. Sim, e esses são difíceis. Já corres 400 metros. Porque é que tens de pôr aí barreiras? Quer dizer, isso é, isso é, isso é muito.
Bill: Sim, sim, sim. Bem, isso, sim, isso, isso, uh, era, era mais fácil para mim porque, os verdadeiros corredores, uh, não se incomodavam em competir.
Blake: Não sei se isso é verdade. Bem, muito obrigado por se juntar a mim no podcast, Bill. Foi um prazer tê-lo connosco e apreciamos muito as suas ideias sobre a sua liderança como CISO na Mitel.
Bill: Gostei muito, obrigado por isso.