Live @ RSAC 2026: AI FOMO

0:00:05 Max Havey: Olá e bem-vindos ao Security Visionaries, um podcast sobre o mundo dos dados cibernéticos e da infraestrutura tecnológica, que reúne especialistas de todo o mundo e de diversas áreas. Eu sou o seu apresentador, Max Havey, e hoje temos um episódio muito especial aqui na RSAC 2026, onde conversaremos com James Robinson, CISO da Netskope. James, olá e obrigado por reservar um tempo para conversar. Que bom que você está aqui.

0:00:24 James Robinson: Obrigado, Max.

0:00:25 Max Havey: Então, James, espero que você possa me ouvir. Sei que muita coisa está acontecendo por aqui, então está tudo bem por aí?

0:00:31 James Robinson: Sim, está tudo ótimo por aqui.

0:00:32 Max Havey: Ok, excelente. Que bom ouvir isso, que bom ouvir isso. Normalmente, nos comunicamos por meio de telas de computador, então é empolgante estarmos fazendo isso.

0:00:38 James Robinson: Cancelamento de ruído, sem ruído de fundo. Todo tipo de coisa.

0:00:40 Max Havey: Não podemos fazer isso aqui. Não podemos fazer isso aqui na RSA. Tivemos que fazer isso ao vivo e pessoalmente, o que

0:00:44 James Robinson: É melhor assim mesmo.

0:00:46 Max Havey: Com certeza, concordo plenamente. Então, James, para ir direto ao ponto, a RSA está sempre em alta no quesito IA. Qual é a tendência que você mais ouviu falar até agora na conferência? Sim,

0:00:55 James Robinson: Acho que este ano, IA, obviamente o burburinho do ano passado foi genAI. A atuação deste ano está em todos os lugares, com muitas restrições, muitas conversas sobre isso e sempre acaba voltando a dados, acesso e dados, não importa o que sejam. E esses são provavelmente os dois maiores temas que eu diria que aparecem em todos os lugares. E então você começa a inserir um pouco de testes de penetração e algumas outras áreas semelhantes, mas principalmente tudo gira em torno do acesso e dos dados aos quais eles teriam acesso, que são uma plataforma e um sistema de agentes, e como as pessoas habilitam isso. Também houve algumas conversas em que as pessoas ainda estão tentando entender a situação. Eles ainda estão meio que no lado da governança da equação, mas para aqueles que eu diria
estão realmente progredindo e se esforçando para avançar, trata
se de protagonismo. 0:01:42 Max Havey: Com certeza. Bem, outro termo que tenho ouvido com bastante frequência nas conversas que tenho tido aqui na conferência é soberania de dados. Onde entra a soberania
dados nessa conversa sobre IA
IA ativa? 0:01:53 James Robinson: Sim, a soberania surge em diversas áreas diferentes. Então, existe a questão da soberania de dados, mas também é preciso pensar na soberania digital. É preciso pensar em soberania da IA, soberania da nuvem, todas essas peças diferentes, e todas elas acabam convergindo no final das contas, e quando convergem, os dados, muitas vezes, ainda são o elemento-chave. A soberania de dados se baseia no fato de que uma grande quantidade de dados precisa convergir para que a IA funcione, mas como garantir que eles permaneçam onde precisam estar? Então, como você mantém esses dados dentro da região em que precisam ser processados? Mantenha os dados lá, e se você conseguir mantê-los lá, estará em uma posição muito melhor para dar suporte à soberania dos dados. Muitas organizações diriam: "Bem, tivemos um vazamento de dados, então reunimos todos os dados novamente." A soberania dos dados rompe completamente com esse modelo. Então você ainda quer tentar usar IA e ainda

capaz de usar todos esses dados e essas informações, mas nem sempre pode aproveitar as mesmas abordagens de antes. 0:02:47 Max Havey: Com certeza. Bem, é o que você disse antes, falando sobre salvaguardas, que são fundamentais para manter as pessoas na linha e garantir
ninguém compartilhe informações indevidas, como dados sensíveis vazando
o mundo. 0:02:58 James Robinson: Sim, é exatamente isso. Ou nem sequer divulgá-lo para o mundo exterior, mas mesmo assim, como você o utiliza internamente em sua organização? Então, se você pensar na sua organização, pode haver uma equipe que queira ter acesso a esses dados, mas talvez não devesse, porque precisa transferi-los para fora da organização, de uma equipe, função ou país, para fora dela. É aí
começam
surgir também as questões de soberania. 0:03:20 Max Havey: Definitivamente. Bem, e pensando em dados, em manter dados sensíveis onde precisam estar, penso muito em setores altamente regulamentados. Então, estou curioso para saber quais são alguns dos grandes desafios enfrentados por esses setores, como o bancário, o imobiliário, o varejo, o setor manufatureiro, todos esses que lidam com grandes volumes de informações sensíveis. Quais são alguns dos grandes desafios que eles enfrentam quando se trata de habilitar a IA com sucesso e segurança?

0:03:49 James Robinson: O maior desafio que vejo é que ainda não existem muitas estruturas estabelecidas para eles seguirem. Assim, dentre essas estruturas, trata-se ainda de uma área e um espaço tecnológico em rápido desenvolvimento. Assim, muitas dessas organizações altamente regulamentadas ficam meio que presas em um impasse. Eles querem habilitar e aproveitar ao máximo a IA, incluindo as IAs modernas, como as agentivas e a genAI, mas, ao mesmo tempo, ainda estão aguardando a aprovação, o que é apropriado, até que ponto devem ir e qual o alcance dessa implementação. Assim, em algumas áreas, vemos grupos de teste, grupos piloto, funções que estão começando a analisar a questão, enquanto em outras áreas, a ideia foi simplesmente suspensa, dependendo do tipo de regulamentação que for publicada. E esse é provavelmente o ponto mais importante nas indústrias regulamentadas neste momento. Eles ainda estão tentando entender como fazer isso, enquanto se adaptam à governança e às diferentes regulamentações que estão começando a se formar, e como aplicá-las na prática? Eu diria que leis como a Lei de IA da UE foram muito, muito claras em muitos aspectos, detalhando coisas como, por exemplo, que você não deveria estar construindo uma arma, coisas desse tipo. Então, essa foi uma questão muito fácil e clara, mas quando você começa a analisar isso mais a fundo, a destrinchar a questão e a se perguntar: "Bem, se você é uma organização que faz algo assim, ou se você é uma organização do setor de serviços financeiros, até onde você pode ir?" E, voltando ao início, o que é soberania de dados? Como são as regulamentações de dados? Quais são esses itens diferentes? Tudo isso é algo que precisa ser resolvido

0:05:21 Max Havey: Bem, e também é interessante pensar na soberania de dados, onde essas regulamentações estão mudando dependendo de onde você está no mundo, e isso está meio que amplificando esse problema. Se você tem um problema na União Europeia, terá um problema semelhante, mas diferente, no Oriente Médio, nos Estados Unidos ou na Austrália. É um jogo completamente diferente dependendo de onde você vai

0:05:41 James Robinson: Até esse ponto. Neste momento, estamos acompanhando dezenas de regulamentações que estão sendo criadas e que irão impactar nossos clientes e, potencialmente, serem aplicadas a nós também. E assim, à medida que esses desenvolvedores se tornam algo que também precisamos observar, é algo que estamos analisando internamente, tentando entender e também tentando acompanhar de perto para compreender. Para nós, muitas vezes, como uma organização de segurança dentro de uma empresa de segurança, somos muito influenciados pelo que o mercado e o setor estão pedindo, ou pelo que os vendedores estão pedindo porque nossos clientes estão pedindo isso. Isso nos afeta diretamente e
então
precisamos iniciar iniciativas internas para garantir que possamos mapear e cumprir essas regulamentações também. 0:06:19 Max Havey: Definitivamente. Bem, algo que me deixa curioso é como os CISOs e líderes de segurança que atuam nesses setores altamente regulamentados devem proceder para transformar um caso de uso de IA especulativo em uma aplicação prática dentro de suas organizações. Quais são algumas das perguntas que eles deveriam estar fazendo a respeito disso e tentando descobrir isso?

0:06:38 James Robinson: Acho que a principal que descobrimos, e que é praticamente irrelevante, é: "Vocês estão aprendendo com os meus dados?" E essa não é apenas uma pergunta que recebemos de nossos clientes, mas também uma que fazemos aos nossos fornecedores. A outra questão envolve o local onde se encontram no mundo: a IA está sendo implementada em uma área com a qual se sentem confortáveis, ou todas essas informações estão sendo reunidas quando se começa a operar e aplicar a IA a esse conjunto de dados? A outra questão é: existem ameaças emergentes ou você está abrindo caminho para elas? Ainda há muita tecnologia em rápido desenvolvimento. Vimos a chegada e a onda do MCP e agora começamos a ver que o MCP está sendo desafiado de várias maneiras, podendo surgir outro protocolo. Essas são áreas em que as indústrias regulamentadas meio que deixaram passar, deixaram a situação se agravar e permitiram que outros resolvessem o problema, para depois começarem a adotar novas práticas. Então, acho que algumas das tecnologias anteriores que foram desenvolvidas anteriormente, quero dizer, no ano passado,

0:07:41 Max Havey: É, isso é segurança.

0:07:43 James Robinson: Algumas dessas tecnologias, agora estão começando a ser analisadas. Ao mesmo tempo, vejo que as organizações que estão criando comitês de governança de IA não devem apenas aprovar ou rejeitar a ideia, mas sim transformá-los em equipes de capacitação, que incluam a área de negócios, não apenas o departamento jurídico, não apenas a segurança, não apenas a TI, mas também outros parceiros e equipes de negócios. Essas são as equipes que vejo se movimentando muito mais rápido do que as equipes que estão se unindo para tentar dizer não, ou eu preciso saber, SABER. São eles que estão dizendo sim, mas como chegamos lá?

0:08:20 Max Havey: É mais ou menos essa mentalidade de deixar rolar. Tenho assistido a muitos filmes do Bruce Lee. Estou pensando em "Seja água", esse tipo de mentalidade quando se trata de habilitar a IA, encontrando maneiras de
sim e manter as coisas
sem criar muitos atritos. 0:08:36 James Robinson: Sim, está correto. Exatamente.

0:08:38 Max Havey: Bem, mais ou menos nessa mesma linha, eu sei que ontem você teve uma sessão de briefing com Ben Fellows, o CISO da Hitachi, uma conversa realmente muito boa. Quem não estava lá, perdeu uma grande oportunidade. Eu realmente queria conversar com você sobre a ideia de governança de dados. Esse foi um assunto importante que vocês estavam discutindo lá dentro. Então, você poderia me explicar um pouco por que a governança de dados é algo que as pessoas em setores altamente regulamentados, como o de Ben, precisam ter em mente ao descobrir como viabilizar a IA dessa forma?

0:09:07 James Robinson: Parte disso retoma a discussão sobre soberania de dados que já tivemos, mas há outra área que descobrimos ser muito interessante. Eu diria que é um pouco inovador, e foi a nossa equipe de privacidade e proteção de dados que começou a desenvolver essa ideia. Estávamos desafiando-os e dizendo: "Ei, como podemos ir mais rápido?" Muitas pessoas voltam a trabalhar com classificação de dados. Na classificação de dados, você basicamente coloca as coisas em algumas categorias. É algo super secreto, podemos divulgar abertamente ou precisamos lidar com isso com muita cautela? Como devemos abordar a questão? Na verdade, fomos além, e a equipe de privacidade e proteção de dados foi ainda mais longe, começando a criar categorias de dados. Agora podemos dizer que este sistema de IA que estamos implementando é adequado e aprovado para essas categorias, o que realmente ajuda as equipes, e as ajuda muito mais. Agora eles entendem que, quando eu disse dados confidenciais, eu me referia a algo como código e propriedade intelectual ou a algo como nossas informações financeiras? Bem, agora podemos dizer que está aprovado em termos financeiros, mas não está aprovado em termos de código e propriedade intelectual. Podemos dar esse passo adiante. É algo que recomendo a muitas, muitas, muitas equipes. A governança de dados abrange muitas áreas diferentes. Também aborda a questão de se é possível descobrir onde os dados estão. Você consegue entender como esses dados estão sendo usados na prática? Você está usando esses dados para criar seus próprios modelos? Você está recebendo essa informação e processando-a de uma maneira diferente? Você está lidando com isso de forma diferente? Portanto, a governança de dados abrange muitas outras áreas, mas o foco principal é capacitar as equipes. Estou percebendo que o mais importante é a mudança que fizemos, a qual eu recomendaria a qualquer pessoa, e tenho prazer em compartilhá-la com todos. Essa mudança que fizemos para entrar na categorização de dados realmente nos ajudou

0:10:48 Max Havey: Certamente. Bem, trata-se de saber com o que as pessoas precisam ter cuidado. É como se tudo pudesse ser considerado confidencial, dependendo de quem está lidando com isso e para que está sendo usado, e poder ter essas categorias estabelecidas é, em última análise, o que facilita para as pessoas entenderem o que estão colocando em risco e como podem contribuir melhor para não colocar isso em risco.

0:11:10 James Robinson: Sim, exatamente. Essa é exatamente a ideia. E eles sabem quais

seus limites e para o que o pedido ou o fornecedor foi aprovado. 0:11:18 Max Havey: Com certeza. Bem, como CISO de uma empresa fornecedora de segurança, acho que você meio que insinuou isso um pouco. Qual foi o seu momento de epifania ao descobrir a melhor forma de implementar IA na Netskope?

0:11:30 James Robinson: Sim, foi como uma avalanche, e esse foi um dos momentos decisivos. Somos uma empresa de tecnologia e, como tal, precisamos investir nisso. New tecnologias são sempre úteis, assim como uma New abordagem, e por isso eu sabia que isso teria que ser um fator facilitador para nós. Além disso, os clientes começaram a fazer mais perguntas. O setor estava começando a se movimentar mais rapidamente, e agora acho que talvez tenhamos dado um passo ainda maior. É quase como viver o que chamamos de momento FOMO (medo de ficar de fora), em que muitas pessoas me pedem o tempo todo: "Posso usar essa ferramenta?" E eu pergunto: "Bem, o que você quer fazer?" "Não sei." Sinto que estou perdendo algo", e em alguns casos eu me sinto da mesma forma, não é? Sim, quero
meu laboratório doméstico execute
OpenClaw, mas também quero proteger onde ele está sendo executado e o que está fazendo. 0:12:16 Max Havey: Certo, exatamente.

0:12:17 James Robinson: E é exatamente aí que muita gente está, então eu diria que o momento "eureka" para mim foi exatamente quando comecei a ver o voo e a trajetória e agora estou seguindo essa mesma linha. Está decolando, está voando agora, mas agora também estão acontecendo aqueles momentos de FOMO (medo de ficar de fora). Eu penso: "Ah, preciso experimentar isso." Preciso fazer isso direito. Ao mesmo tempo em que exerço minha função principal.

0:12:38 Max Havey: Bem, com certeza. Tenho a impressão de que a cada semana, num piscar de olhos, surge um New aplicativo que todo mundo quer usar. É algo que todos nós queremos fazer, manter-nos à frente. É aquele tipo de momento FOMO (medo de ficar de fora), e eu senti isso quando o ChatGPT surgiu pela primeira vez em 2023, ou melhor, em 2022, no dia 22 de novembro. Foi real. Foi como uma mudança radical. É como se você não quisesse ficar para trás em

tudo isso. 0:13:00 James Robinson: O que você perguntou? Qual foi a sua primeira pergunta?

0:13:01 Max Havey: Ah, acho que fiz alguma besteira tipo 2001: Uma Odisseia no Espaço. Tipo, ah, você pode abrir as portas da câmara de descompressão?

0:13:07 James Robinson: Nossa, eu acabei de desperdiçar fichas. Eu disse: oi, tudo bem?

0:13:11 Max Havey: Não é tão ruim assim. Bem, acho que agora diriam que isso é horrível, mas na época, tínhamos que dar um jeito
resolver
alguma forma. 0:13:17 James Robinson: Você tinha que começar em algum lugar, certo?

0:13:19 Max Havey: Exatamente. Bem, James, chegando ao fim das perguntas, qual seria uma dica para líderes de segurança, CISOs e líderes de tecnologia, mesmo nos setores altamente regulamentados de finanças, bancos, imobiliário, varejo e outros? Qual seria uma dica para eles, já que estão buscando maneiras de aprimorar a IA nesse sentido?

0:13:42 James Robinson: Sim, já que acho que compartilhei a perspectiva do embaixador da última vez.

0:13:47 Max Havey: Sim, acredito que você fez isso em um episódio recente. Vá ouvir.

0:13:50 James Robinson: Ainda estamos aproveitando bastante o produto. Conseguimos disponibilizá-lo para ainda mais equipes. A próxima dica que temos insistido bastante internamente, e que eu recomendaria a qualquer pessoa novamente, e que acho que já compartilhei com alguns, é começar a fazer testes de intrusão (red teaming). Comece a procurar um parceiro. Eles podem começar a agir, mas também é importante que sua equipe comece a se defender, que inicie as investigações. Outro dia, descobrimos uma vulnerabilidade interna de injeção de código que nos levou a uma injeção de SQL. A partir disso, pedi à equipe CSIRT, a equipe de investigação, que entrassem e dessem uma olhada para ver se conseguiam remontar tudo. Será que eles conseguem entender o que aconteceu? Certo. Isso fazia parte dos testes que estávamos realizando em um New produto que iríamos lançar. Conseguimos encontrar isso, mas também queríamos poder voltar atrás e juntar as informações para ver se conseguíamos responder ao problema e, a partir daí, como podemos permitir que as equipes de operações o visualizem na próxima vez que acontecer? Não que desejemos liberar algo com injeção imediata, claro que não, mas isso poderia acontecer, e como sabemos, com defesa em profundidade, é preciso estar preparado, pronto e capaz de responder. Portanto, recomendo a todos que preparem suas equipes. A partir daí, comecem a se posicionar de forma a utilizar essas ferramentas. Nunca desperdice uma oportunidade. Sabemos disso, então use-os e comece a se colocar em uma posição para poder respondê-los.

0:15:01 Max Havey: Sim, absolutamente. Como um Escoteiro
, sempre priorizo essa mentalidade de estar preparado em todas
facetas do meu trabalho. 0:15:09 James Robinson: Sim. Então, tenho um presente especial para você aqui.

0:15:12 Max Havey: Ah, é mesmo? Sim. Incrível.

0:15:14 James Robinson: Agora você vai ser o CISO aqui.

0:15:15 Max Havey: Nossa!

0:15:16 James Robinson: Com isso, agora posso fazer perguntas a vocês.

0:15:18 Max Havey: Nossa! Sim. James, me dá um toque.

0:15:19 James Robinson: Qual foi a coisa mais incrível que você já viu aqui?

0:15:22 Max Havey: Bem, a coisa mais incrível foi que ontem eu consegui entrevistar uma cabra, uma cabra de feltro feita de fantoche. Foi realmente o ponto alto.

0:15:29 James Robinson: Eles tinham azul.

0:15:30 Max Havey: Sim,

0:15:31 James Robinson: Foi bem perto da sessão.

0:15:32 Max Havey: Sim. Oh sim. Sim. Ele estava por aí, relaxando. Ele é um cabrito de óculos vestido de astronauta. Verdadeiramente. Nunca estive tão animado.

0:15:39 James Robinson: Acho que o GOAT (Greatest Of All Time - Melhor de Todos os Tempos) esbarrou acidentalmente no Bailey.

0:15:40 Max Havey: Sim, provavelmente, isso parece correto. É uma delícia. Isso me deixou muito feliz. No que diz respeito à segurança propriamente dita. Tenho visto muitas conversas realmente interessantes. Participei de uma ótima sessão com Steve Riley e alguém da Illumio, falando sobre IA e a perspectiva humana, e o que precisa ser levado em consideração nesse contexto, à medida que vemos tecnologias se tornarem mais robustas, como IA generativa e assistida por computador, entre outras. Então, sim, continuamos muitas das conversas sobre IA que estamos tendo, mas o tipo de coisa que eu acabei de mencionar é sobre o Trevor da Illumio, que é o cara com quem o Steve estava conversando. Uma conversa realmente muito boa. Isso é incrível. Sim. Tem mais alguma pergunta? Agora que meu microfone está ligado?

0:16:22 James Robinson: Ouvi algo no AWS CISO Circle sobre uma New ideia, um New conceito: sabemos que as pessoas processam a tecnologia, mas e a ideia de usar tecnologia processada por agentes?

0:16:37 Max Havey: Ah

0:16:37 James Robinson: O que você acha disso? Oh,

0:16:38 Max Havey: Tecnologia de processo de agente.
como
agentes que utilizam tecnologia, eles próprios usam essas ferramentas. 0:16:44 James Robinson: Substituindo pessoas.

0:16:45 Max Havey: Sim, sim. Agentes posicionados. Quer dizer, parece que muitos dos líderes de segurança com quem conversei estão dizendo que isso está por vir. É algo que vamos ver. Acho que nós dois conversamos sobre isso em outro momento, sobre a ideia de agentes conversando com outros agentes e como isso funciona como um espelho, refletindo um ao outro. Com certeza será interessante. Terei muito interesse e, se eu tivesse que adivinhar, provavelmente conversaremos sobre isso em breve.

0:17:07 James Robinson: Estamos começando a fazer isso internamente até que estejamos nos divertindo muito

0:17:09 Max Havey: Incrível

0:17:10 Max Havey: Estou ansioso para ver como isso vai terminar.

0:17:11 James Robinson: Incrível. Incrível.

0:17:12 Max Havey: Bem, James, muito obrigado por dedicar seu tempo aqui. Sei que você é um cara ocupado quando se trata desta conferência. Que conversa boa. Espero que todos se divirtam tanto quanto eu me diverti aqui.

0:17:07 James Robinson: Eu também. Obrigado.

0:17:21 Max Havey: Fantástico. E com isso, você esteve ouvindo e provavelmente assistindo ao podcast Security Visionaries, e eu fui seu apresentador, Max. Se você gostou deste episódio, compartilhe com um amigo e não se esqueça de curtir, comentar ou compartilhar. Realmente, toda ajuda é bem-vinda. Você pode encontrar New episódios do nosso programa, publicados semanalmente, na sua plataforma de podcasts favorita, Apple Music, Spotify, ou em nossas New incríveis versões em vídeo no YouTube. Você pode encontrar nossos episódios sendo publicados quinzenalmente, apresentados por mim ou pelas minhas maravilhosas co-apresentadoras, Emily Wearmouth e Bailey Popp. E com isso, nos vemos no próximo episódio.