Live @ RSAC 2026: AI FOMO

0:00:05 Max Havey: Ciao e benvenuti a Security Visionaries, un podcast dedicato al mondo dei dati informatici e delle infrastrutture tecnologiche, che riunisce esperti da tutto il mondo e da diversi settori. Sono il vostro conduttore, Max Havey, e oggi abbiamo un episodio davvero speciale qui all'RSAC 2026 in cui parleremo con Netskope, CISO, James Robinson. James, ciao e grazie per aver dedicato del tempo. Felice che tu sia qui.

0:00:24 James Robinson: Grazie, Max.

0:00:25 Max Havey: Allora James, spero che tu possa sentirmi. So che qui succede un sacco di cose, quindi tutto va bene da parte tua?

0:00:31 James Robinson: Sì, tutto va benissimo da parte mia.

0:00:32 Max Havey: Ok, ottimo. Felice di sentirlo, felice di sentirlo. Di solito parliamo attraverso schermi di computer, quindi è entusiasmante che lo facciamo.

0:00:38 James Robinson: Cancellazione del rumore, nessun rumore di sottofondo. Un sacco di cose.

0:00:40 Max Havey: Non possiamo farlo qui. Non possiamo farlo qui a RSA. Abbiamo potuto farlo dal vivo e di persona, il che è

0:00:44 James Robinson: È meglio così comunque.

0:00:46 Max Havey: Assolutamente, e sono d'accordo. Quindi James, per entrare subito nel punto, RSA è sempre un fermento per l'IA. Qual è la tendenza che avete sentito di più finora alla conferenza? Sì,

0:00:55 James Robinson: Penso che quest'anno, l'IA, ovviamente il buzz dell'anno scorso fosse la genAI. Quest'anno l'agentic, agentic ovunque, pesanti, molte conversazioni su questo e si torna sempre sempre a dati, accesso e dati, accesso e dati qualunque esso. E quindi questi sono probabilmente i due temi principali che direi che si trovano ovunque. Poi si inizia a aggiungere un po' di pen testing e altre aree simili, ma soprattutto si tratta di accesso e poi i dati a cui avrebbero accesso sono una piattaforma e un sistema agente, e come le persone li abilitano. Ci sono state anche alcune conversazioni in cui le persone stanno ancora cercando di sentire la situazione. Sono ancora un po' nel lato della governance, ma per chi direi che sta davvero progredendo e si sta spingendo avanti, si tratta di agenti.

0:01:42 Max Havey: Assolutamente. Beh, un altro termine che sento spesso parlare nelle conversazioni che sto avendo qui alla conferenza è sovranità dei dati. Dove si sovrappongono i dati in quella conversazione tra IA e IA agente?

0:01:53 James Robinson: Sì, la sovranità emerge in diversi ambiti. Quindi c'è il lato della sovranità dei dati, ma poi bisogna anche pensare alla sovranità digitale. Bisogna pensare alla sovranità dell'IA, alla sovranità del cloud, a tutti questi diversi elementi, e alla fine si uniscono tutti e, quando si incastrano i dati, spesso è ancora la cosa fondamentale e la sovranità dei dati si basa sul fatto che molti dati devono unirsi affinché l'IA possa funzionare, Ma come si fa effettivamente a tenerlo dove deve essere? E quindi, come si conservano quei dati nella regione in cui devono essere elaborati? Lascialo lì e, se riesci, sei in una posizione molto migliore per supportare il lato della sovranità dei dati, molte organizzazioni dicono: beh, abbiamo una fuga di dati, quindi rimettiamo insieme tutti i dati. La sovranità dei dati rompe completamente quel modello. Quindi vuoi continuare a fare IA e continuare a usare tutti questi dati e queste informazioni, ma non puoi necessariamente sempre sfruttare gli stessi approcci di prima.

0:02:47 Max Havey: Assolutamente. Beh, è quello che hai detto prima, parlando di guardrail, che è una cosa fondamentale, tenere le persone in riga e assicurarsi che nessuno condivida cose che non dovrebbe condividere, lasciando uscire dati sensibili nel mondo.

0:02:58 James Robinson: Sì, esattamente così. O nemmeno di farlo uscire nel mondo, ma come lo usi all'interno della tua organizzazione? Quindi, se pensi alla tua organizzazione, potrebbe esserci un team che vuole accedere a quei dati e forse non dovrebbero averli perché devono trasferirli fuori da quell'organizzazione o da un team, da una funzione, da un paese a un altro. È allora che iniziano anche le questioni di sovranità.

0:03:20 Max Havey: Assolutamente. Beh, penso che pensare ai dati, mantenere dati sensibili dove devono essere, penso molto a settori altamente regolamentati, quindi sono curioso, quali sono alcune delle grandi sfide che devono affrontare i settori altamente regolamentati, come il settore bancario, immobiliare, il commercio al dettaglio, la manifattura, tutti questi che gestiscono grandi volumi di informazioni sensibili. Quali sono alcune delle grandi sfide che stanno affrontando per abilitare con successo e sicurezza l'IA?

0:03:49 James Robinson: La più grande che vedo è che non ci sono ancora molti framework da seguire. E quindi, di questi framework, è ancora uno spazio e un ambito tecnologico in rapido sviluppo. E quindi molte di queste organizzazioni altamente regolamentate sono un po' bloccate. Vogliono abilitare e sfruttare molta IA e molte agenzie e genAI moderne, ma allo stesso tempo stanno ancora aspettando di vedere cosa viene approvato, cosa è appropriato, fino a che punto dovrebbero arrivare e fino a che punto dovrebbero arrivare. E quindi in alcune aree si possono avere gruppi di test, gruppi pilota, funzioni che stanno iniziando a esaminare la questione e in altre aree si vede che hanno semplicemente bloccato la questione, a seconda del tipo di regolamentazione in uscita. E quindi probabilmente questa è la cosa più importante nelle industrie regolamentate in questo momento. Stanno ancora cercando di capirlo mentre affrontano la governance e le diverse normative che stanno iniziando a formarsi, e poi come le applicano effettivamente? Direi che cose come l'EU AI Act sono molto, molto chiare sotto molti aspetti su come hanno smantellato cose come non dovresti costruire un'arma, cose del genere. Quindi questa era una domanda molto facile e chiara, ma poi quando inizi a smantellare tutto questo o ad aprire sempre di più la cipolla e inizi a entrare in un'organizzazione che fa qualcosa del genere, o se sei un'organizzazione che lavora nei servizi finanziari, Fino a che punto puoi arrivare? E poi, tornando indietro, cos'è la sovranità dei dati? Com'è la normativa sui dati? Quali sono questi diversi oggetti? Tutto questo è materiale che va messo in pratica

0:05:21 Max Havey: Beh, ed è anche interessante pensare alla sovranità dei dati, dove queste regolamentazioni cambiano a seconda di dove ti trovi nel mondo, e questo amplifica un po' quel problema. Se hai un problema nell'UE, avrai un problema simile ma diverso in Medio Oriente, in America o in Australia. È tutto un gioco diverso a seconda di dove vai

0:05:41 James Robinson: A quel punto. Al momento stiamo monitorando decine di regolamenti che vengono creati e che influenzeranno i nostri clienti e che potrebbero poi essere applicati anche a noi. E quindi, come sviluppatori, diventano qualcosa che dobbiamo anche noi stessi osservare, è qualcosa che stiamo cercando di capire internamente e anche di restare aggiornati per capire. Per noi, spesso come organizzazione di sicurezza all'interno di un'azienda di sicurezza, siamo molto guidati da ciò che il mercato e il settore stanno chiedendo, o i venditori lo chiedono perché i nostri clienti lo chiedono. Quindi questo entra in noi e poi dobbiamo avviare iniziative interne per assicurarci di poter mappare e rispettare anche queste normative.

0:06:19 Max Havey: Assolutamente. Beh, e una cosa che mi incuriosisce è: per i CISO e i leader della sicurezza che operano in settori altamente regolamentati, come dovrebbero passare da un caso d'uso speculativo dell'IA ad applicare queste cose nell'ambiente reale all'interno della loro organizzazione? Quali sono alcune delle domande che dovrebbero porsi a riguardo e come capirlo?

0:06:38 James Robinson: Penso che la domanda più grande che abbiamo trovato, un po' impossibile da iniziare, sia: "Stai imparando dai miei dati? E non solo è quello che riceviamo noi, i nostri clienti ce lo chiedono, ma poi chiediamo anche ai nostri fornitori che sia uno di loro. L'altro punto si concentra su dove si trovano nel mondo: l'IA viene fornita in un ambito con cui si sentono a loro agio, oppure state riportando tutte quelle informazioni insieme quando iniziate a operare e applicare l'IA a quel dataset? L'altra domanda è: ci sono minacce emergenti o stai aprendo la porta? C'è ancora molta tecnologia rapida in fase di sviluppo. Abbiamo visto l'arrivo e l'ondata dell'MCP e ora stiamo iniziando a vedere che l'MCP viene messo in discussione in molti modi e potrebbe esserci un altro protocollo che emerge. Queste cose sono aree in cui le industrie regolamentate hanno lasciato correre, lasciato passare l'alluvione e la tempesta, lasciando che gli altri lo scopriscano, e poi iniziano ad adottare. Quindi penso che alcune delle tecnologie precedenti sviluppate dall'anno scorso, intendo l'anno scorso,

0:07:41 Max Havey: Sì, questa è la tua sicurezza.

0:07:43 James Robinson: Alcune di queste tecnologie, ora stanno iniziando a essere esaminate. Allo stesso tempo vedo che quelle organizzazioni che cercano di prendere i loro comitati di governance dell'IA che vengono creati non solo trasformarli in un team che è un sì o un no, ma anche un team di abilitazione, uno che coinvolge il business, non solo il legale, non solo la sicurezza, non solo il business, ma anche altri partner e team commerciali. Sono le squadre che vedo muoversi molto più velocemente di quelle che si uniscono per cercare di dire no, o che ho bisogno di sapere SAPERE. Sono loro che dicono sì, come ci arriviamo?

0:08:20 Max Havey: È un po' quella mentalità del flusso scorretto. Ho guardato molto Bruce Lee mos. Sto pensando a "Sii acqua", quel tipo di mentalità quando si tratta di abilitare l'IA, trovare modi per dire sì e mantenere tutto abilitato senza essere troppo fritico.

0:08:36 James Robinson: Sì, è corretto. Esatto.

0:08:38 Max Havey: Beh, un po' nello stesso senso, so che ieri avete avuto una sessione di briefing con Ben Fellows, il CISO di Hitachi, una conversazione davvero, davvero interessante. Chi non c'era, si è davvero perso qualcosa. Volevo davvero parlarti dell'idea di governance dei dati. Era un grande argomento di cui parlavate lì dentro. Puoi spiegarmi un po' perché la governance dei dati è qualcosa che le persone in settori altamente regolamentati come quello di Ben, perché è una cosa così importante da tenere a mente mentre stanno cercando di capire come abilitare l'IA in questo modo?

0:09:07 James Robinson: Parte della questione riguarda la discussione sulla sovranità dei dati che abbiamo già avuto, ma c'è un'altra area che abbiamo scoperto essere piuttosto interessante. Direi che è un po' innovativo, ed è stato il nostro team di privacy e protezione dei dati a proporre questa idea. Li sfidavamo dicendo: "Ehi, come facciamo ad andare più veloci?" Molte persone tornano alla classificazione dei dati. La classificazione dei dati consiste in un po' a mettere le cose in un paio di categorie. È un problema super segreto o è qualcosa che possiamo praticamente rilasciare libero, oppure dobbiamo semplicemente gestirlo con qualche mano, o come affrontarlo davvero? Abbiamo fatto un passo avanti e il team di privacy e protezione dei dati è andato molto oltre, iniziando a proporre categorie di dati. Ora possiamo dire che questo sistema di IA che stiamo introducendo è accettabile e approvato per queste categorie, il che aiuta davvero i team e li aiuta molto di più. Ora capiscono che quando ho detto dati riservati, intendevo davvero qualcosa come codice e proprietà intellettuale o intendevo qualcosa come i nostri dati finanziari? Beh, ora possiamo effettivamente dire che è approvato per i dati finanziari, non per il codice e la proprietà intellettuale. Possiamo andare oltre. È qualcosa che consiglio a molti, molti, tantissimi team. La governance dei dati riguarda molte aree diverse. Entra anche in spiegazioni: puoi scoprire dove si trovano i dati? Riesci a capire come quei dati vengano effettivamente utilizzati all'interno di qualcosa? Prendi quei dati e crei i tuoi modelli con essi? Stai interpretando queste informazioni e elaborando queste informazioni in modo diverso? Stai gestendo la situazione in modo diverso? Quindi la governance dei dati riguarda molte, molte più aree, ma in un certo senso si tratta di fare l'abilitazione per i team. Sto vedendo che la cosa numero uno è quella mossa che abbiamo fatto, che consiglierei a chiunque, e sono felice di condividerla con chiunque. La mossa che abbiamo fatto per passare alla categorizzazione dei dati ci ha davvero aiutato

0:10:48 Max Havey: Certamente. Beh, è un po' sapere cosa è la cosa a cui le persone devono stare attente. È come se tutto potesse essere considerato riservato a seconda di chi lo gestisce e di cosa lo stai usando, e poter avere queste categorie in atto è ciò che rende più facile per le persone capire cosa stanno mettendo a rischio e come possono cogliere meglio nel non metterlo a rischio.

0:11:10 James Robinson: Sì, esatto. È proprio questa l'idea. E sanno a che punto sono i loro confini e per cosa è stata approvata la domanda o per cosa è approvato anche il fornitore.

0:11:18 Max Havey: Assolutamente. Beh, come CISO in un fornitore di sicurezza, penso che tu abbia fatto un piccolo cenno a questo. Qual è stato il tuo momento di aha quando si è trattato di capire come abilitare al meglio l'IA all'interno dell'organizzazione di Netskope?

0:11:30 James Robinson: Sì, era davvero solo un'onda e un'onda, e quella era una di quelle. Siamo un'azienda tecnologica, quindi come azienda tecnologica dobbiamo puntarci su questo. New tecnologia è sempre utile e un approccio New è sempre utile, quindi sapevo che doveva essere un fattore di empowerment per noi. Inoltre, i clienti hanno iniziato a chiedere di più. L'industria stava iniziando a muoversi più velocemente, e ora penso che forse abbiamo fatto un passo oltre. È quasi come vivere quello che ora chiamiamo il momento FOMO, e molte persone, ricevo richieste da persone che dicono: "Posso usare questo strumento?" E io dico: "Beh, cosa vuoi fare?" "Non lo so. Sento di perdermi qualcosa", e in alcuni casi la penso allo stesso modo, giusto? Sì, voglio che il mio laboratorio di casa faccia girare OpenClaw, ma voglio anche proteggere dove viene eseguito e cosa sta facendo.

0:12:16 Max Havey: Esatto, esatto.

0:12:17 James Robinson: Ed è proprio lì che si trovano molte persone, e direi che quel momento di aha per me è stato proprio quando ho iniziato a vedere il volo e la traiettoria e ora sto andando avanti con la stessa cosa. Sta decollando, ora sta volando, ma ora ci sono anche momenti di FOMO. Io penso, oh, devo giocare con quello. Devo farlo bene. Allo stesso tempo che facevo il lavoro quotidiano.

0:12:38 Max Havey: Beh, molto. Mi sembra che ogni settimana sbatti le palpebre e ci sia un'app New che tutti vogliono usare. È la cosa che tutti noi vogliamo restare avanti. È, è quel momento di FOMO, e ho sentito che quando ChatGPT è apparso per la prima volta nel 2023 o no, nel 2022, era il 22 novembre. Era reale. È stato come un momento di svolta radicale. Sei un po' come se non volessi essere indietro con tutto questo.

0:13:00 James Robinson: Cosa hai chiesto? Qual è stata la tua prima domanda?

0:13:01 Max Havey: Oh, credo di aver fatto qualche stupida cosa tipo Odissea nello spazio del 2001. Tipo, oh, puoi aprire le porte del vano capsule?

0:13:07 James Robinson: Nel mio caso, ho solo sprecato gettoni. Ho detto, ciao, come stai?

0:13:11 Max Havey: Non è terribile. Beh, penso che ora direbbero che è terribile, ma all'epoca dovevamo capirlo in qualche modo.

0:13:17 James Robinson: Dovevi cominciare da qualche parte, giusto?

0:13:19 Max Havey: Esatto. Bene, James, arrivando alla fine delle domande, qual è un consiglio che daresti ai leader della sicurezza, CISO e leader tecnologici, anche nei settori altamente regolamentati della finanza, banca, immobiliare, retail e cose simili? Qual è un consiglio che daresti loro visto che stanno cercando di abilitare meglio un'IA in questo modo?

0:13:42 James Robinson: Sì, dato che credo di aver condiviso il lato ambasciatore l'ultima volta.

0:13:47 Max Havey: Sì, credo che tu l'abbia fatto in un episodio recente. Vai ad ascoltarlo.

0:13:50 James Robinson: Ne stiamo ancora tirando molto uso adesso. Abbiamo permesso a ancora più squadre di utilizzarlo. Poi la prossima che abbiamo davvero spinto internamente e che consiglierei ancora a chiunque, è stata che credo di aver già condiviso con altri: iniziare a fare red team. Inizia a cercare un partner. Possono iniziare a fare cose, ma permettere anche alla tua squadra di iniziare a difendersi, facendo iniziare loro le indagini. L'altro giorno abbiamo trovato l'internamente prompt injection che ci ha portato all'SQL injection. Da lì, ho chiesto al team CSIRT, al team investigativo, di entrare a dare un'occhiata e chiedere se potevano rimetterlo insieme. Possono capire cosa è successo? A destra. Questo era parte dei nostri test che stavamo facendo su un prodotto New che stavamo rilasciando. Siamo riusciti a trovare questo, ma volevamo anche poter tornare indietro e mettere insieme tutto per vedere se possiamo effettivamente rispondere, e da lì, come permettere ai team operativi di vederlo la prossima volta che succede? Non che vogliamo mai rilasciare qualcosa con un'iniezione rapida, ovviamente no, ma potrebbe succedere, e come sappiamo con la difesa in profondità, devi essere preparato, devi essere pronto e devi essere in grado di rispondere, quindi consiglierei a chiunque di preparare i tuoi team. Da lì, Inizia sicuramente a posizionarti in modo che tu stia iniziando a usare queste cose. Non sprecare mai un incidente. Lo sappiamo, quindi usa questi e inizia a metterti in una posizione in grado di rispondere a loro.

0:15:01 Max Havey: Sì, assolutamente. Come Eagle Scout, è sempre quella mentalità di essere preparato che vuoi portare in ogni aspetto del lavoro che stai facendo.

0:15:09 James Robinson: Sì. Quindi ho un regalo speciale per te.

0:15:12 Max Havey: Davvero? Sì. Così incredibile.

0:15:14 James Robinson: Ora sei il CISO qui.

0:15:15 Max Havey: Oh cielo.

0:15:16 James Robinson: Detto questo, ora posso farti delle domande.

0:15:18 Max Havey: Oh mio Dio. Sì. James, colpiscimi.

0:15:19 James Robinson: Qual è stata la cosa più straordinaria che hai visto qui?

0:15:22 Max Havey: Beh, la cosa più incredibile è che ieri ho intervistato una capra, una marionetta di capra di feltro. È stato davvero il momento più bello.

0:15:29 James Robinson: Avevano il blu.

0:15:30 Max Havey: Sì,

0:15:31 James Robinson: Era proprio vicino alla sessione.

0:15:32 Max Havey: Sì. Oh, sì. Sì. Stava passando del tempo insieme. È una capretta con gli occhiali vestita da astronauta. Davvero. Non sono mai stato così entusiasta.

0:15:39 James Robinson: Penso che il GOAT abbia urtato accidentalmente il Bailey.

0:15:40 Max Havey: Sì, probabilmente sì, sembra corretto. È una vera delizia. Mi ha reso così felice. Sul lato della sicurezza vera e propria. Ho visto molte conversazioni davvero interessanti. Ho assistito a una buona sessione con Steve Riley e qualcuno di Illumio che parlavano di IA e prospettiva umana e cosa deve essere coinvolto in tutto questo, visto che vediamo le cose diventare più robuste per quanto riguarda l'AI agentica dell'età e generativa e cose del genere. Quindi sì, continuando molte delle conversazioni sull'IA che stiamo avendo, ma le cose che ho appena detto sono Trevor di Illumio, che è il tipo con cui Steve stava parlando. Conversazione davvero, davvero bella. Fantastico. Sì. E altre domande per me? Ora che ho il microfono acceso su di me?

0:16:22 James Robinson: C'è stato un articolo che ho sentito all'AWS CISO Circle, riguardava questa New idea, questo concetto di New che sappiamo che le persone processano la tecnologia, ma che dire dell'idea di passare alla tecnologia processata dagli agenti?

0:16:37 Max Havey: Oh

0:16:37 James Robinson: Cosa ne pensi? Oh,

0:16:38 Max Havey: Tecnologia di processo agente. Quindi, come agenti che usano la tecnologia, usano loro stessi questi strumenti.

0:16:44 James Robinson: Sostituire le persone.

0:16:45 Max Havey: Sì, sì. Agenti in arrivo. Voglio dire, sembra proprio che molti dei leader della sicurezza con cui ho parlato abbiano pensato: sta per arrivare. È una cosa che vedremo. Penso che tu ed io ne abbiamo parlato in modo diverso a un certo punto, sull'idea che gli agenti parlino con gli agenti e che si riflettano a vicenda. Sarà sicuramente interessante. Sarò molto interessato e probabilmente ne parleremo molto presto, se dovessi indovinare.

0:17:07 James Robinson: Stiamo iniziando a farlo internamente finché non ci divertiamo molto anche noi

0:17:09 Max Havey: Incredibile

0:17:10 Max Havey: Non vedo l'ora di vedere come andrà a finire.

0:17:11 James Robinson: Fantastico. Fantastico.

0:17:12 Max Havey: Beh, James, grazie mille per aver dedicato del tempo. So che sei una persona impegnata quando si tratta di questa conferenza. Una conversazione così bella. Spero che tutti gli altri si divertano quanto ho fatto a me qui.

0:17:07 James Robinson: Anch'io. Grazie.

0:17:21 Max Havey: Fantastico. E con questo, hai ascoltato e probabilmente guardato il podcast Security Visionaries, e io sono stato il tuo conduttore, max. Se ti piace questo episodio, condividilo con un amico e assicurati di lasciarci un like, un commento o una condivisione. Davvero ogni singola cosa conta. Puoi trovare New episodi del nostro show che vengono pubblicati ogni settimana sulla tua piattaforma di podcast preferita, Apple Music, Spotify, o sulle nostre versioni video New scenzose su YouTube. Puoi trovare i nostri episodi pubblicati ogni due settimane, condotti da me o dalle mie meravigliose co-conduttrice, Emily Wearmouth e Bailey Popp. E con questo, ci vediamo nel prossimo episodio.