Disrupt or Defend? An AI Grudge Match

0:00:05 Emily Wearmouth: Olá e bem-vindos ao podcast Security Visionaries, um espaço onde reunimos especialistas para falar sobre cibersegurança, dados, infraestrutura e todo tipo de assunto interessante. Eu sou uma das suas anfitriãs, Emily Wearmouth. E hoje espero começar uma pequena briga. Deixe-me explicar. Ultimamente, tenho refletido sobre como os CIOs e CISOs parecem ter atribuições quase conflitantes em relação à IA quando conversam com seus CEOs e recebem suas tarefas diárias. Então, você tem o CIO que está sendo especificamente solicitado, ao que me parece, a percorrer os corredores de uma organização, disruptando processos, encontrando eficiências, oportunidades de produtividade e New fontes de receita, mas literalmente sendo instruído a desmontar e reconstruir tudo com IA como parte desse processo, o que parece ótimo. Mas o que acontece quando, percorrendo esses mesmos corredores, está um CISO cuja missão, dada pelo CEO, é defender a organização, especialmente em relação a ameaças emergentes que possam estar relacionadas à IA? É sobre isso que quero falar no podcast de hoje, e tenho dois convidados excelentes que, espero, nos ajudarão a resolver essa pequena discussão. Vou começar apresentando nosso primeiro convidado, que representa o lado dos CIOs no ringue de boxe, Mike Anderson. Então, Mike, bem-vindo ao podcast.

0:01:19 Mike Anderson: É ótimo estar aqui. Aguardo com expectativa a nossa conversa. Espero que possamos fazer disso um treino divertido.

0:01:24 Emily Wearmouth: Sim, espero que sim. Então, Mike é o Diretor de Dados e Informação da Netskope, a empresa de segurança e redes que vou apresentar aos meus leitores. Ele ingressou na Netskope vindo da Schneider Electric e também ocupa diversos cargos em conselhos consultivos. Quando estou procurando convidados para o podcast, tento analisar a fundo seus currículos e ver o que fizeram no início de suas carreiras para ter uma ideia de como abordarão a conversa. E Mike, eu percebi logo de cara, consigo ver as gotículas de suor e o medo no início do seu currículo. Mike, notei desde muito cedo que você trabalhou bastante com provedores de serviços de aplicativos na integração de dados. Então, imagino que você esteja encarando a ideia de integração de dados e IA sem nenhum receio. É justo, Mike?

0:02:08 Mike Anderson: É, nenhum medo, exceto o próprio medo.

0:02:13 Emily Wearmouth: Bem-vindos ao podcast. Deixe-me apresentar nosso outro convidado, porque pensei que, embora fosse ótimo ter um CIO e um CISO qualquer, seria ainda mais divertido se fosse o CISO que realmente trabalha com o Mike no dia a dia, porque eles não estariam falando teoricamente e poderiam até já chegar com alguma animosidade envolvida. Nosso outro convidado é James Robinson, que é o CISO da Netskope. Bem-vindo ao podcast, James.

0:02:36 James Robinson: Sim, estou aqui para defender.

0:02:41 Emily Wearmouth: Então, o currículo do James é todo sobre aplicações de dados e segurança na nuvem. Ele começou em funções de analista técnico e engenheiro de sistemas, e eu percebi, logo no início da carreira do James, que ele trabalhava em uma grande cervejaria. Então talvez possamos ter uma conversa offline sobre algumas das vantagens desse trabalho

0:02:59 James Robinson: A qualquer hora. Só se pudermos fazer isso tomando um drinque.

0:03:03 Emily Wearmouth: Incrível. Muito bem, vamos começar? Então, eu queria começar com uma pergunta para você, Mike. Ao observar e percorrer esses corredores, analisando o panorama geral da organização, como você determina em que você e sua equipe devem investir seu tempo, garantindo que não estejam apenas explorando superficialmente, mas sim identificando os projetos de IA com maior potencial de impacto para a organização? Onde você procura?

0:03:29 Mike Anderson: Bem, o primeiro é onde temos um processo muito bem definido, porque se você aplicar uma tecnologia, não importa qual seja, a um processo ruim, você só chegará ao mesmo resultado mais rapidamente. Então, a primeira coisa a fazer é garantir que tenhamos um processo sólido. E uma das coisas que sempre digo às equipes é: certifiquem-se de acompanhar a receita. Como estamos gerando receita enquanto organização e onde estão os pontos de atrito nesse processo? E como podemos usar a tecnologia para ajudar a reduzir esse atrito? Portanto, quando pensamos em IA, não é diferente da automação robótica de processos ou de qualquer outro tipo de ferramenta que vimos nesse setor nos últimos 20 anos. A questão é: como podemos garantir que aplicamos isso da maneira correta? E a IA não é uma abordagem que serve para todos os casos. Pode não haver um bom caso de uso para IA em áreas específicas, e pode ser
a IA seja
em conjunto com outras ferramentas disponíveis. 0:04:20 Emily Wearmouth: E James, quando você está começando, ou talvez apenas observando a equipe do Mike criar o caos, como você começa a entender a IA? Qual é o seu ponto de partida?

0:04:31 James Robinson: Sim, acho que uma das coisas que, indo contra, eu diria sobre este tópico, é que Mike e eu encontramos um ponto em comum na alfabetização. E assim, uma das coisas que começamos a identificar foi que as pessoas não sabiam quais eram seus limites, o quanto deveriam compartilhar, o que era aprovado, o que não era aprovado e coisas desse tipo. Então, participar de eventos como o Promptathon foi um ótimo exemplo de quando eu deveria ter usado aquela camisa em vez desta. Mas

0:05:00 Emily Wearmouth: Explique-nos o que você quer dizer com teleprompter ligado? Entendo que, para o ouvinte, você esteja usando um boné da Hackathon, mas você acabou de dizer "Promptomathon". O que é isso?

0:05:09 James Robinson: Então, a ideia era tentar fazer com que algumas pessoas gerassem ideias, usando algumas ferramentas de IA aprovadas para nós, internamente o Gemini, para que pudessem começar a criar ideias e coisas diferentes que pudessem fazer. Também começou a delinear muito claramente alguns dos limites que as pessoas podiam ou não ultrapassar para que pudéssemos usar os dados da Netskope, e assim por diante. Isso elevou o nível de conhecimento de todos, porque eles estavam desenvolvendo projetos, usando IA diariamente e se divertindo com ela. Portanto, tratava-se de um item de conscientização sobre educação. Isso meio que começou a definir a tendência não só de impulsionar a educação e o conhecimento em segurança, mas também a educação geral sobre o assunto. Somos uma empresa de tecnologia, então para nós havia muitos projetos diferentes em torno de IA e IA de geração, mas isso meio que focou em algo específico e também estabeleceu um limite para o que é apropriado e o que não é. Essa é uma das áreas. Outra área que começo a analisar é justamente a superfície de ataque. Penso que o setor definiu muito bem o que é a gestão da superfície de ataque no que diz respeito a redes, sistemas e elementos que possam estar expostos. Mas a superfície de ataque também pode vir da IA oculta e pode surgir até mesmo do uso, aqui, de um aplicativo de gravação para fazermos este podcast. O que acontece se agora houver inteligência artificial incorporada? Ninguém sabia ao certo. Não revisamos, não submetemos à verificação de segurança, não freamos o projeto nem o desaceleramos no sentido tradicional de segurança, mas apenas garantimos que a IA esteja segura e não esteja aprendendo com os dados que estamos carregando, porque não queremos usar esse escopo de dados internos ou se tivermos um caso de uso em que estamos tentando criar um produto com base em dados de clientes e começamos a ensinar a IA, é aí que nos deparamos com conversas difíceis em situações delicadas. O caso de uso e o benefício, mesmo que bem documentados, podem existir, mas se não soubermos se eles estão usando as informações que estamos enviando, se eles não souberem que estamos usando essas informações para treinar a IA deles, então temos um problema. E é exatamente aí que temos que frear bruscamente. É aí que o "saber" se transforma em "não, não podemos fazer isso" e estabelece esse limite. Mas, novamente, voltando à questão de elevar o nível da educação, para que tenhamos um terreno comum e uma superfície sobre a qual todos possamos conversar. E então, em segundo lugar, comece a analisar quais são as áreas de IA obscuras que precisamos explorar, identificá-las e
a partir daí
direcionar nossos esforços. 0:07:41 Mike Anderson: Eu sei que temos vídeo suficiente gravado de você agora, James, para criar um deepfake seu, então agradeço por isso. Então, falando sobre onde vamos fazer o upload deste vídeo, só digo que aprovo, aprovo, aprovo. Nós conseguimos.

0:07:56 Emily Wearmouth: Então, talvez eu devesse ter convidado outra pessoa para o podcast, um usuário anônimo, porque parece que vocês dois, com essa maratona de perguntas, estão mais alinhados do que eu imaginava no início desta conversa
Talvez o problema aqui sejam esses casos de uso paralelos que emergem de unidades de negócios aleatórias
e não a abordagem organizacional centralizada da IA. 0:08:20 James Robinson: Vou lhe dizer onde surge o conflito: é justamente essa capacidade de avançar rapidamente do ponto de vista da revisão de segurança. Mike e eu conversamos o tempo todo sobre coisas que emperraram, ou que não estão avançando rápido o suficiente, ou que estão paradas há duas semanas. Você pode pedir para a equipe revisar isso? E acho que é aí que o conflito começa a se enraizar na maioria das equipes. Obviamente, o objetivo é aumentar a eficiência, operacionalizar a IA e fazer tudo isso, e queremos que isso aconteça também na área de segurança. No entanto, estamos tentando otimizar nossos processos e procedimentos, e, sinceramente, às vezes eles simplesmente não são rápidos o suficiente para os negócios. E essa é uma das coisas que, como líder, estou sempre tentando analisar e descobrir se podemos usar a IA para acelerar esse processo. Por que não usar a eficiência da IA para acelerar as coisas por conta própria? E nós estamos tentando fazer o mesmo, mas não estamos operando tão rápido quanto eu diria que a empresa gostaria. E é aí que começam os conflitos, nesses cenários em que não estamos em sintonia, e seria algo como, sem querer falar por Mike, "Ei, este é um caso de uso simples e fácil." Não entendo por que está travando ou por que está tão lento. Bem, não é que alguém esteja travando ou seja lento. O problema é que estamos recebendo uma enxurrada de solicitações de diversas unidades de negócios e equipes, e a lista de pendências está enorme. Mais de 1.200 avaliações