Informal security chat with Founding Engineer Nelson Melo, CTO of A3Sec Israel Gutiérrez, and our host Marketing Empress Reece Guida on how people don't have enough awareness around cybersecurity.

English transcription

Reece

Hello everyone. And welcome to yet another episode of "Cybersecurity Hot Takes" with Beyond Identity. You are joined today by me, your host, the Marketing Empress, Reece Guida and...

Nelson

Nelson Melo, founding engineer.

Reece

Fantastic. And Nelson, we have a special guest today. His name is Israel Gutierrez and he is of A3Sec. Israel, tell us about yourself before we get in today's hot take.

Israel

Hello. Thank you, Reece. Thank you, Nelson for having me here. I am the CTO of my company, A3Sec, which is a cybersecurity consultant company based in Spain, Mexico, and Colombia. We are basically around the Hispanic space market in cybersecurity, and I am the CTO of the company.

Reece

Great, thank you for that. And Israel, as you know, as a fan of this podcast, we come here to talk about hot takes. Spicy things that people can have as a point of view in the cybersecurity that gets interesting and lively conversations going. And I know you came prepared today with a hot take. So, why don't you tell us what it is so we can talk about it?

Israel

Well, I think that the hot take is, not enough people are thinking around security when they interact with other people, or with other companies, or application in the internet. They don't have enough awareness around cybersecurity.

Reece

So, you know, I would agree generally, but then there's some populations or groups of people who I would argue shouldn't have to think about cybersecurity, depends on certain kind of professions, right? Like doctors, my dad's a doctor. He is so burdened by the password resets and other security measures like, MFA that requires a second device that his hospital has in place. It really weighs him down a lot. I also don't think children or students should have to worry about cybersecurity that much. I think my hot take is that, systems should just be secure by default and they should be as user-friendly as possible so that people don't have to worry about that. But I agree cybersecurity should be more broadly aware and considered to be more important by more people. So, Nelson, where do you fall on that spectrum that Israel and I just laid out?

Nelson

I was just juggling when you said that Reece, because, Bruce and I are famously...has a talk he gives and he gave it at RSA maybe last year, or a couple years ago. Where he likes to quote a researcher, security research that says something and I'm gonna butcher this. But, something about if you want security to be effective, the best thing you can do is to hide it from your users. And they don't even know that it's happening. The more touchpoints you have actually makes things worse. And he has an interesting take on it, which is, you can do that to an extent. And the more you complicate things, just trying to convolute yourself around creating security that is easy to use, that may actually have a negative side effect. But I think you're absolutely right.

Reece

Yeah. And if it's too complicated, you introduce user error, right? 'Cause you're putting it on them to be aware. I know user awareness is a huge thing. Like, a lot of companies are built just around that, especially when it comes to phishing, which is where I got my start in cybersecurity. So, Israel, maybe you can speak to us a little bit about, you know, cybersecurity culture specifically in Spain, Columbia. Do you think that it's different from the U.S. in any way? Like, what does the landscape there look like? And what kind of change are you trying to bring forth?

Israel

Okay. I think that the big important things is about the culture. Because we are in a space on countries who are very important, the security culture in your physical space, because you don't have to trust anybody. Because there is a lot of people who trying to hurt you, or harm you, or taking advantage of your information, or your personal security. So, in that set of mind, we need to start to see the cybersecurity in the digital space in the same way. Because maybe you can create a lot of programs, super secures, highly secure, but when someone tells a user, "Give me your password, give me your double FMA, give me all your information," they are going to give you because they trust in other people. The basic of the trust maybe, deliver not very secure space.

So, in the user awareness, maybe could be, with less trustful and be more...keep in mind that maybe the other people or the other application in the computer, in your mobile, is not the person who is telling you that could be. So, because in this type of countries, Spain, Latin America mainly, there is a lot of people who try to harm you, and that's extrapolate to the digital world. And maybe that's why cybersecurity becomes more and easy to take in these type of countries. Maybe there is a difference within U.S., or other parts of Europe. The people are more trustfully, right?

Reece

Yeah. And you're saying trust a lot there, which of course makes me, and probably the listeners as well, think about zero trust is a concept. So, one thing I've noticed and, you know, listeners, if you disagree with me, please let me know. But I have a hypothesis that zero trust is more of a big deal in the United States than it is in Europe, right? We have mandates coming out from the government to have MFA unphishable, phishing-resistant MFA, whatever you wanna call it. For example, the New York Department of Financial Services has an MFA requirement that kind of plays into the whole zero trust notion. So, Nelson, I mean, you just went over to the United Kingdom to talk to a big potential customer there. Did zero trust come up at all? Do you agree or disagree with the statement that zero trust isn't as widespread outside of the U.S. as a concept?

Nelson

So, interestingly, it didn't come up Reece. And I hadn't thought about it until now, but, the way I've heard folks in other countries sell our products and cybersecurity in general, you're right. It almost never uses zero trust as a concept. I think that's probably something that's starting to happen more in the U.S. and other countries may follow, but, I think you're right.

Reece

Yeah. Well, what about you as Israel? What do you have to say, is zero trust, a big concept in Spain, Mexico, Columbia?

Israel

Yes. It is kind of, important concept because that, I think it's a base concept for cybersecurity and security itself in different spaces, because you need to keep trusting in everybody. You need to stop trusting in giving all the access, all the credentials to everybody to start doing more flexible the security, you have more flexible applications to be more efficient in cybersecurities.

Right now, you can be more untrustful and stop thinking about the trust as a way to do the things more efficient. Because that's why in the past, maybe they given all the access all the privilege in order to do the production, right. So right now, zero trust is becoming a very important thing, because that type of trust in the past became a lot of problems right now. So right now, we are trying to keep this concept of zero trust as a culture, as integrating in your companies, in all the enterprise aspect, also in the personal aspect.

So, I think that's very, very important, and that's why the integration of the cybersecurity could be an easy way to do the things more efficient, and not as a barrier to doing things. Because right now, there are application or more easy way to reach this type of culture of security.

Reece

Yeah. And I really do think it boils down to a culture. And at Beyond Identity, we believe that passwords are not gonna exist within the next three to five years. And going back to what you said about credentials being a problem, you know, you either have the credential or you don't, and if you have it, you can get into the system. Great. And there's all sorts of ways you can get a credential, you know, by the book or on a stolen database, that kind of thing. I think that this plays back really elegantly into zero trust and kind of your original hot take, Israel, about the every man thinking more about cybersecurity. It's not just a yes or a no thing. It's a culture. It's a state of mind. It's something that we share responsibility for and something that, you know, we just can't trust anything these days.

So, with that in mind, I am going to wrap up this episode. And stay tuned if you speak Spanish because Israel and Nelson are going to do a follow-up episode in Spanish, which is gonna be a first for this podcast and is very exciting. So thank you for tuning into this episode. We look forward to talking to you next week about whatever hot take pops into our mind. Thanks, Israel. Thanks, Nelson. We'll see you guys later. Don't forget to like and subscribe. Thanks.

Spanish transcription

Nelson

¡Hola! y bienvenidos a un episodio de Security Uptakes con Israel Gutiérrez de a3Sec y Nelson Melo, Founding Engineer de Beyond Identity. Israel, gracias por entrar al episodio hoy, y pues ¿puedes darnos una introducción breve sobre quién tú eres y tú compañía?

Israel

Claro que sí, muchísimas gracias por el espacio, por el tiempo y por hacer este episodio en español. Yo soy Israel Gutiérrez soy CTO de la compañía a3Sec, que es una consultora de ciberseguridad con base en España, México y Colombia, y nos enfocamos principalmente en las consultorías de ciberseguridad para el mercado hispanohablante.

Nelson

¡Perfecto! En el episodio anterior que grabamos en inglés, estábamos hablando con Israel un poco sobre zero trust que es un concepto en cybersecurity, en ciberseguridad, en donde las personas, los practicantes de ciberseguridad hablan sobre cómo hacer que los sistemas tengan mejor autenticación y mejor autorización. Israel, cuando piensas sobre ese tema, cómo ves en Latinoamérica y en Europa, en los países donde tú trabajas, el concepto de cybertrust, ¿se usa?

Israel

Sí. Es un concepto que está llegando bastante fuerte en el mercado. Se está empezando a utilizar cada vez más. Yo creo que tenía mucho tiempo algunas veces, lo habían hablado en algún momento, pero ahorita se está volviendo aun más eficiente porque cada vez tenemos más aplicaciones que pueden funcionar mejor en el zero trust y que pueden hacer que sean usables. Si algún problema teníamos anteriormente es que el zero trust impedía que los usuarios funcionarán bien con sus aplicaciones. Todo se volvía una barrera, todo era una complejidad.

Ahora existen muchísimo más facilidades para que ese zero trust pueda ser implementado y empecemos con darles muy pocos privilegios o los privilegios más granulares a un usuario para que pueda operar, y va a operar bien, y va a funcionar correctamente. Entonces creo que es un cambio cultural importante y que ahora la tecnología nos está permitiendo abordarlo de una manera más eficiente.

Nelson

Yo creo que sí. ¿Y cómo ves en ciberseguridad en Latinoamérica? ¿Es un mercado que está creciendo? ¿Qué tipo de de inversiones se están haciendo en esa área?

Israel

Bueno, es un mercado que está creciendo mucho por la propia demanda de los ataques. Estamos siendo uno de los principales focos de ataques a nivel mundial. Latinoamérica está siendo un punto importante, porque hay mercado, hay empresas, hay dinero, pero no hay mucha ciberseguridad. Lamentablemente, muchas organizaciones no invirtieron hace tiempo en ciberseguridad y apenas lo están haciendo, derivado de esa necesidad de implementar modelos más seguros para que sean menos impactos o menos graves los impactos que están teniendo. Entonces, es un mercado que está creciendo bastante, yo creo que siempre vamos a lo mejor un poco de pasos atrás con respecto a Estados Unidos, pero en México está muy al pendiente de lo que está sucediendo y estamos tomando muchas buenas prácticas para hacer que esto funcione.

Igual Latinoamérica, está volteándose a ver la ciberseguridad como un factor importante, se están creando nuevas políticas de ciberseguridad a nivel gobierno, las empresas están empezando a invertir más en ciberseguridad, hay más conciencia. Falta, pero ahí va. Falta la más conciencia, pero ahí va.

Nelson

¿Y cómo ha ido a tu compañía en en ese tipo de "engagements" con los clientes?

Israel

Nos gusta mucho ayudarles a entender esta parte de que la ciberseguridad es muy importante y que no es una barrera, que no les va a afectar tanto en sus procesos. Ya la ciberseguridad inclusive puede ser un habilitador para que los procesos de las organizaciones funcionen de una manera más eficiente, pero a veces no les hace mucho sentido porque históricamente la seguridad no funcionaba así.

Entonces, mucho de lo que nosotros hacemos en a3Sec es buscar que vean que la seguridad es un factor relevante y que puede ser útil para sus propias operaciones. Que las pueden hacer más rápidas, más eficientes, con más claridad y más seguras. Entonces, buscamos hacer eso. Buscamos dar ese enfoque de una seguridad desde la parte preventiva, detectiva y reactiva, siempre apoyando los procesos de negocio.

Nelson

Claro. Tú dijiste una cosa interesante, que cuáles son los motivos que las personas buscan las compañías como las tuyas y en Estados Unidos, Insurance es una gran razón por la cual se requiere que las personas implementen multifactor autentication, el gobierno también algunas políticas. En México y en Colombia y en España, ¿hay alguna política específica o algún "driver" específico que haga que las personas hagan una búsqueda?

Israel

Sí, pues ya con todo el tema de las leyes de protección de datos personales, en Europa el GDPR, en México, la ley federal de protección de datos personales, en Colombia, toda la ley de protección de datos personales. Estas leyes están diciendo, "tienes que tener cuidado, tienes que identificar mejor a tus usuarios, saber quién está accesando la información", porque es su responsabilidad como empresa saber si esta información se está exponiendo en internet y las multas ya empiezan a ser importantes. Entonces, ya hay cada vez más reglamentos para decir, "tienes que cuidar", y siempre el factor de doble autenticación es el primer punto de entrada para una aplicación.

Siempre es el primer punto para evitar que algo suceda. Alguien cree una identidad falsa. El principal ataque en Latinoamérica en un 80% es suplantación de identidad. ¿Y por qué es posible esto? Porque no existe la capacidad de detectar si realmente es la persona que es, la que está entrando. Entonces la implementación de doble factor de identidad, realmente aporta un valor importante para protegernos de este que es el principal riesgo que se ha venido dando desde COVID.

Nelson

Tiene sentido. ¿Y hay algún sector en alguno de esos países específicos donde tú ves más interés o que están en la vanguardia o sectores, si hay más de uno?

Israel

Sí, bueno. Siempre ahí los principales sectores que están más a la vanguardia, siempre han sido el tema financiero y el tema de las telecomunicaciones, son como que los primeras puntas de lanza que hacen inversión o que están al pendiente. Las Fintech se están volviéndose bastante un consumidor importante de la ciberseguridad por el tema financiero y el tema de la tecnología, pero ya existen muchos otros sectores que están volteando a ver toda la parte de sectores críticos, energía, "oil and gas", todo este tipo de infraestructuras críticas, también ya están prestando mucha atención a este tema, inclusive la venta al detal, transportación están prestando mucha atención porque hay un proceso también bien importante de digitalización.

La transformación digital de muchos procesos en Latinoamérica está volviendo un driver importante a adoptar mejores procesos de ciberseguridad.

Nelson

Tiene sentido, y son los que tienen más que perder, así que desde algún punto de vista tiene sentido. Estamos llegando al final del tiempo. Muchas gracias Israel por unirnos en este podcast el día de hoy, esperamos verte de nuevo.

Israel

Muchísimas gracias a ustedes. Que tengan un excelente día. Gracias.