Interrompere o difendere? Una partita di rancore dell'IA

0:00:05 Emily Wearmouth: Ciao e benvenuti al podcast Security Visionaries, un luogo in cui riuniamo esperti per parlare di dati informatici, sicurezza, infrastrutture e di tante altre cose interessanti. Sono una delle vostre ospiti, Emily Wearmouth. E oggi spero di dare inizio a una piccola lotta. Lasciatemi spiegare. Di recente ho riflettuto su come i CIO e i CISO sembrino avere un mandato quasi conflittuale in materia di intelligenza artificiale quando parlano con i loro CEO e vengono loro assegnati i compiti del giorno. Quindi c'è il CIO a cui viene chiesto specificamente, mi sembra, di correre per i corridoi di un'organizzazione rivoluzionando le cose, trovando efficienze, trovando opportunità di produttività, trovando New flussi di entrate, ma a cui viene chiesto letteralmente di andare a smontare le cose e ricostruirle con l'intelligenza artificiale come parte di quel processo, il che sembra fantastico. Ma ciò che accade quando si percorrono quegli stessi corridoi è un CISO il cui mandato, conferito dal CEO, è quello di difendere l'organizzazione, in particolare per quanto riguarda le minacce emergenti che potrebbero riguardare l'intelligenza artificiale. Ecco di cosa voglio parlare oggi nel podcast e ho due ospiti eccellenti che spero ci aiuteranno a districarci in questo piccolo battibecco. Inizierò presentando il nostro primo ospite, che rappresenta l'angolo CIO del ring, Mike Anderson. Allora Mike, benvenuto al podcast.

0:01:19 Mike Anderson: È fantastico essere qui. Non vedo l'ora di parlare. Speriamo che possa essere una sfida divertente.

0:01:24 Emily Wearmouth: Sì, spero. Mike è il Chief Data and Information Officer di Netskope, l'azienda di sicurezza e networking di cui parlerò ai miei lettori. È entrato a far parte di Netskope provenendo da Schneider Electric e ricopre anche numerosi ruoli nei comitati consultivi. Quando cerco ospiti per il podcast, cerco di analizzare a fondo il loro CV e di vedere cosa hanno fatto all'inizio della loro carriera, per cercare di farmi un'idea di come potrebbero affrontare la conversazione. E Mike, l'ho notato molto presto, riesco a vedere le piccole gocce di sudore e paura per ciò che c'è all'inizio del tuo CV. Mike, ho notato fin da subito che hai lavorato molto con i fornitori di servizi applicativi sull'integrazione dei dati. Quindi penso che probabilmente stai affrontando l'idea dell'integrazione dei dati e dell'intelligenza artificiale senza alcuna paura. È giusto, Mike?

0:02:08 Mike Anderson: Sì, nessuna paura, tranne la paura stessa.

0:02:13 Emily Wearmouth: Bene, benvenuti al podcast. Vorrei presentarvi l'altro nostro ospite perché ho pensato che, sebbene sarebbe fantastico avere un CIO e un CISO qualsiasi, sarebbe ancora più divertente se fosse il CISO a lavorare effettivamente con Mike giorno per giorno, perché non parlerebbero in termini teorici e potrebbero avere già qualche problema da risolvere. L'altro nostro ospite è James Robinson, CISO di Netskope. Benvenuto al podcast, James.

0:02:36 James Robinson: Sì, sono qui per difenderti.

0:02:41 Emily Wearmouth: Quindi il CV di James riguarda principalmente le applicazioni dati e la sicurezza del cloud. Ha iniziato ricoprendo ruoli di analista tecnologico e ingegnere di sistema e ho notato James molto presto nella tua carriera, quando lavoravi presso un importante birrificio. Quindi forse potremmo avere una conversazione offline su alcuni dei vantaggi di quel lavoro

0:02:59 James Robinson: Quando vuoi. Solo se possiamo farlo bevendo qualcosa.

0:03:03 Emily Wearmouth: Fantastico. Bene, iniziamo? Quindi volevo iniziare con una domanda per te, Mike. Quando si esamina, ci si muove in questi corridoi e si osserva il quadro generale di un'organizzazione, come si fa a stabilire a cosa tu e il tuo team dovreste dedicare il vostro tempo, assicurandovi di non limitarvi a solleticare i dettagli e di trovare davvero i progetti di intelligenza artificiale che hanno il maggiore impatto potenziale per un'organizzazione? Dove vai a cercare?

0:03:29 Mike Anderson: Beh, il primo è quello in cui abbiamo un processo molto ben definito, perché se si usa una tecnologia, non importa quale, contro un processo scadente, si ottiene comunque lo stesso risultato più velocemente. Quindi la prima cosa da fare è assicurarsi di avere un processo solido. E una delle cose che dico sempre alle squadre è di assicurarsi di monitorare le entrate. Come guadagniamo denaro come organizzazione e dove si verifica l'attrito in questo processo? E allora come possiamo usare la tecnologia per contribuire a ridurre tale attrito? Quindi, quando si pensa all'intelligenza artificiale, non c'è differenza alcuna con l'automazione dei processi robotici o con qualsiasi altro tipo di strumento che abbiamo visto in questo settore negli ultimi 20 anni. La domanda è: come possiamo essere sicuri di applicarlo in modo appropriato? E l'intelligenza artificiale non è un approccio universale. Potrebbe non esserci un buon caso d'uso per l'IA in aree specifiche e potrebbe essere l'IA insieme ad altri strumenti nella cassetta degli attrezzi.

0:04:20 Emily Wearmouth: E James, quando inizi o semplicemente ti fermi a guardare il team di Mike creare caos, come fai a familiarizzare con l'intelligenza artificiale? Qual è il tuo punto di partenza?

0:04:31 James Robinson: Sì, penso che una delle cose che, per andare controcorrente, direi su questo argomento, è che io e Mike abbiamo trovato un terreno comune nell'alfabetizzazione. E così una delle cose che abbiamo iniziato a identificare è che le persone non sapevano quali fossero i loro limiti, quanto avrebbero dovuto condividere, cosa era approvato, cosa non era approvato e cose del genere. E quindi fare cose come Promptathon, credo, è stato un ottimo esempio di come avrei dovuto indossare quella maglietta invece di questa. Ma

0:05:00 Emily Wearmouth: Spiegaci cosa intendi per suggeritore? Capisco che, per chi ti ascolta, stai indossando un Hackathon, ma hai appena detto Promptathon. Cos'è?

0:05:09 James Robinson: Quindi l'idea era quella di provare a far sì che alcune persone elaborassero delle idee, utilizzassero degli strumenti di intelligenza artificiale approvati per noi, era Gemini internamente, li usassero e poi iniziassero a creare idee e cose diverse che potessero fare. Ha anche iniziato a delineare molto chiaramente alcuni dei limiti che le persone potevano o non dovevano superare per consentirci di utilizzare i dati di Netskope al suo interno e così via. Ciò ha aumentato il livello di conoscenza di tutti, perché stavano portando avanti progetti e utilizzando l'intelligenza artificiale quotidianamente, anche per divertirsi. Quindi era un elemento di sensibilizzazione educativa. Proprio lì è iniziato a stabilire il punto di riferimento non solo per promuovere l'istruzione e la conoscenza della sicurezza, ma anche per una formazione generale sullo spazio. Siamo un'azienda tecnologica, quindi per noi c'erano molti progetti diversi incentrati sull'intelligenza artificiale e sulla genAI, ma poi ci siamo concentrati su questo aspetto e abbiamo anche stabilito cosa è appropriato e cosa non lo è. Questa è una delle aree. L'altro aspetto che inizio a considerare è proprio la superficie di attacco. Penso che lo spazio abbia definito molto, molto bene cosa sia la gestione della superficie di attacco in relazione alle reti, ai sistemi e alle cose che potrebbero essere esposte. Ma la superficie di attacco può anche presentarsi come ombra dell'intelligenza artificiale e può derivare anche dall'uso di un'applicazione di registrazione per realizzare questo podcast. Cosa succederebbe se ora l'intelligenza artificiale fosse integrata? Nessuno lo sapeva veramente. Non l'abbiamo esaminato, non l'abbiamo sottoposto a controlli di sicurezza, non l'abbiamo frenato, non abbiamo rallentato i progetti nel senso tradizionale della sicurezza, ma ci siamo solo assicurati che l'IA fosse sicura e che non imparasse dai dati che stavamo caricando perché non volevamo prendere quell'ambito come dati interni o se abbiamo un caso d'uso in cui stiamo cercando di fare qualcosa e creare un prodotto per i dati di un cliente o qualcosa del genere e stiamo iniziando a insegnare all'IA, è lì che ci troviamo davvero in conversazioni difficili in luoghi difficili. Il caso d'uso e il vantaggio, anche se ben documentati, potrebbero esserci, ma se non sappiamo se stanno utilizzando le informazioni che stiamo caricando, se non sanno che le stiamo utilizzando e che stiamo insegnando alla loro intelligenza artificiale, beh, questo è un problema. Ed è qui che dobbiamo in un certo senso frenare. Ecco dove SAPERE il sapere diventa no, non possiamo farlo e stabilire quella linea. Ma, ripeto, è come se alzassimo l'asticella dell'istruzione, così da avere un terreno comune e una superficie di cui possiamo parlare tutti. E poi due, iniziare a guardare quali sono quelle aree di intelligenza artificiale ombra su cui dobbiamo intervenire e identificarle, per poi cambiare direzione da lì.

0:07:41 Mike Anderson: So che abbiamo abbastanza video registrati di te in questo momento, James, per creare un falso profondo su di te, quindi lo apprezzo. Quindi, parlando di dove caricheremo questo video, dico semplicemente che approvo, approvo, approvo. Ce l'abbiamo fatta.

0:07:56 Emily Wearmouth: Ok, forse avrei dovuto invitare qualcun altro al podcast, un utente anonimo, perché sembra che voi due con il vostro promptathon stiate procedendo più di pari passo di quanto avrei forse immaginato all'inizio di questa conversazione e che forse il problema siano quei casi d'uso ombra che emergono da unità aziendali casuali e non l'approccio organizzativo centralizzato all'intelligenza artificiale.

0:08:20 James Robinson: Ti dirò dove nasce il conflitto: la capacità di procedere il più velocemente possibile dal punto di vista della revisione della sicurezza. Io e Mike parliamo continuamente di questo, di come questo si sia bloccato, di come non stia procedendo abbastanza velocemente o di come questo caso d'uso sia rimasto lì fermo per due settimane. Puoi chiedere al team di esaminarlo? E penso che sia lì che inizia a radicarsi il conflitto nella maggior parte dei team. Ovviamente vogliamo che l'obbligo di raggiungere una maggiore efficienza e rendere operativa l'intelligenza artificiale e fare tutte queste cose accada anche sul fronte della sicurezza, ma stiamo cercando di sfruttare al meglio i nostri processi e le nostre procedure e a volte, onestamente, non sono abbastanza veloci per l'azienda. E quindi questa è una delle cose che, in quanto leader, cerco sempre di analizzare e capire: possiamo usare l'intelligenza artificiale per accelerare tutto questo? Perché non sfruttare l'efficienza dell'intelligenza artificiale per accelerare noi stessi le cose? E quindi stiamo cercando di fare lo stesso, ma non stiamo operando alla velocità che direi l'azienda vorrebbe. Ed è qui che iniziamo a entrare in conflitto, in questi scenari, o non siamo d'accordo, e sarebbe," non per parlare a nome di Mike, ma sarebbe qualcosa del tipo, Ehi, questo è un caso d'uso semplice e facile. Non capisco perché si blocca o perché è così lento." Beh, non è che uno si blocca o è lento. Il fatto è che ne riceviamo un'inondazione da più unità aziendali e team, e il backlog è enorme. Oltre 1.200 valutazioni