0:00:00.0 Max Havey: Olá, bem-vindo a mais uma edição do Security Visionaries. Um podcast sobre o mundo da infraestrutura cibernética, de dados e tecnologia, reunindo especialistas de todo o mundo e de vários domínios. Sou seu anfitrião, Max Havey, e hoje estamos dando uma olhada no que está no horizonte para o próximo ano, conversando sobre as previsões de 2025 com nossa convidada, Kiersten Todt. Atualmente atuando como presidente da Wondros, Kiersten passou grande parte de sua carreira trabalhando no setor público. Incluindo passagens como Chefe de Gabinete da Agência de Segurança Cibernética e de Infraestrutura, CISA e Diretor Executivo da Comissão Presidencial para o Aprimoramento da Cibersegurança Nacional. E estou muito animada em ouvir a opinião dela sobre o próximo ano. Então, Kiersten, muito obrigado e bem-vindo ao programa.
0:00:40.2 Kiersten Todt: Muito obrigado, Max. Ótimo estar com você.
0:00:43.1 Max Havey: Absolutamente. E à medida que nos aproximamos do final do ano, entramos em uma época que muitos no setor apelidaram de temporada de previsões, em que líderes de opinião de todos os setores oferecem suas opiniões sobre o que está no horizonte para o próximo ano. Então, hoje, eu queria escolher seu cérebro e saber sua opinião sobre algumas das previsões que estão em sua mente. Então Kiersten, você pode nos dar sua primeira previsão aqui?
0:01:00.3 Kiersten Todt: Então, acho que um dos elementos-chave é a inteligência artificial. Obviamente, conversamos muito sobre IA nos últimos dois anos, e acho que o que veremos é que essa bolha vai estourar um pouco, que esse tipo de aumento, há uma curva sobre a qual eles falam em pesquisas de que você vê mais atividade quando as pessoas sabem menos sobre algo, e acho que meio que atingimos esse ápice. Mas o que veremos agora é provavelmente uma visão mais focada em como a inteligência artificial é uma ferramenta, como ela pode ser usada para melhorar a segurança cibernética. Quando estamos analisando a refatoração do código e analisando vulnerabilidades, há uma oportunidade real para a inteligência artificial trabalhar com a segurança cibernética.
0:01:41.4 Max Havey: Absolutamente. E isso é meio inútil lá. Que tipo de insights você acha que o pessoal cibernético pode obter com essa bolha começando a estourar?
0:01:48.3 Kiersten Todt: Bem, acho que é realmente entender como apreciamos a amplitude da inteligência artificial. Acho que muito da tecnologia tem muito a ver com usá-la como uma ferramenta, como uma oportunidade e também estar ciente dos desafios dela. E, certamente, nos concentramos nessas coisas de uma forma muito extrema. Quando se trata de inteligência artificial, vimos que ela dominará o mundo, dominará os humanos, e também será essa inovação do Santo Graal que salvará o mundo. E geralmente a realidade está em algum lugar bem no meio e nós meio que balançamos o pêndulo nessas direções diferentes. Então, agora que estamos nos concentrando, acho que veremos novamente a inteligência artificial como uma ferramenta para nos ajudar a melhorar a segurança cibernética, aprimorar esses problemas técnicos em que não precisamos necessariamente ter humanos como parte dela, mas os humanos certamente precisam se manter engajados.
0:02:36.3 Max Havey: Com certeza. É, até certo ponto, uma espécie de encontrar esse meio termo. Não é exagerar, não é ser otimista demais, mas entender o valor real disso neste momento.
0:02:45.8 Kiersten Todt: Sim, exatamente.
0:02:46.2 Max Havey: Sobre o mesmo tópico, como você acha que esses tipos de insights sobre como encontrar esse meio termo podem ajudar a impulsionar a segurança?
0:02:53.1 Kiersten Todt: Bem, acho que quanto mais nos entendemos e nos educamos, acho que o desafio com a inteligência artificial é que existe uma grande variabilidade no que as pessoas sabem. Ela meio que se tornou a praça central e a cartela de bingo de todo mundo. Então você está ouvindo conselhos de administração, CEOs e executivos falarem sobre como estamos usando a IA quando sabemos, na verdade, que a inteligência artificial já existe há algum tempo e muitas empresas a usam há algum tempo. Então, o que esperamos ver agora é maior fluência, maior alfabetização e o que é inteligência artificial, como ela pode ser usada e a devida cautela sobre como sempre integraremos a inovação quando, na verdade, não conhecemos todas as aplicações dela que fazem parte da pesquisa e do crescimento do problema.
0:03:36.9 Max Havey: Absolutamente. Bem, porque é essa sensação de que eu sei como as pessoas falam muito sobre IA generativa. Muitas vezes é uma espécie de vida que encontra um caminho. As pessoas encontrarão constantemente maneiras de trabalhar com isso e de usar isso, tanto em benefício quanto em detrimento de muitas organizações. Portanto, ter esse cuidado apropriado parece fundamental para encontrar o melhor caminho a seguir.
0:03:54.2 Kiersten Todt: Sim, exatamente, exatamente. Porque eu acho que, como qualquer coisa, é sempre, são grades de proteção e guia. Podemos ver como podemos ser guiados por essa tecnologia, mas precisamos ter as grades de proteção apropriadas. E não acho que, em nossa vida, haverá uma situação em que algum dia entregaremos a maior infraestrutura crítica ou os principais elementos de nossa sociedade à tecnologia, na qual sempre teremos que ter o julgamento humano informado. E acho que isso é particularmente importante quando se trata de ferramentas criadas com base na IA.
0:04:23.5 Max Havey: Com certeza. Acho que sem ignorar o elemento humano em tudo isso, especialmente em qualquer coisa relacionada à segurança, o elemento humano é algo que você sempre deve ter em mente.
0:04:31.0 Kiersten Todt: Certo. Porque acho que a outra parte é que temos que apreciar essa IA particularmente generativa, como você compartilhou, ou seja, todo mundo sempre fala sobre lixo na saída de lixo. Por exemplo, o que quer que esteja acontecendo com a inteligência artificial, se inserirmos qualquer tipo de dado tendencioso, o que o modelo vai lançar será exponencialmente tendencioso. E então não é isso que... As pessoas tendem a ver isso como um extremo, mas é apenas um lembrete importante de que, se alguma coisa que colocamos na inteligência artificial sutilmente não for precisa, a IA generativa produzirá isso de formas muito mais extremas. Portanto, temos que prestar atenção às coisas que somente os humanos podem determinar. Tom, tenor, questões culturais à medida que desenvolvemos esses modelos de IA.
0:05:14.4 Max Havey: Absolutamente. Bem, e nesse mesmo sentido, para fazer uma previsão de um de nossos funcionários aqui na Netskope, Neil Thacker, nosso CISO na EMEA, ele previu a ideia de que o surgimento de ainda mais regulamentações de IA e as organizações que desejam mais visibilidade sobre a IA, potencialmente verão o surgimento de uma nova função, uma espécie de Chief AI Officer. E enquanto estamos falando sobre IA, eu queria ter uma ideia de como esse tipo de previsão faz você olhar para o futuro?
0:05:37.3 Kiersten Todt: Nós já o temos. Não sei se é realmente preditivo para o próximo. Como nós, isso faz parte da ordem executiva do governo e o governo raramente é o líder quando se trata dessas coisas. Mas eles são a ordem executiva e a inteligência artificial identificou um diretor de IA e todas as agências federais. Então você está vendo que eu acho que a indústria ficará logo atrás. No entanto, acho que o que vai acontecer, com o qual devemos ter cuidado, porque já vimos isso no governo, é que o senhor não quer que alguém que esteja fazendo todo esse trabalho, se for um CISO, se tiver outras responsabilidades, agora, de repente, acrescente o cargo de Chief AI Officer à sua função. Isso pode ser bom, mas, da mesma forma que os CISOs e CIOs evoluíram, essa função era geralmente ocupada por alguém que tinha outro conjunto de responsabilidades com habilidades e conhecimentos adjacentes, e então eles tinham que descobrir qual era a função, e havia essa variabilidade do que era um CISO ou um CIO.
0:06:30.2 Kiersten Todt: Acho que estamos integrando mais isso. Mas acho que se o senhor analisar as descrições de cargos nas principais empresas e o que o CIO e o CISO fazem, certamente verá alguns pontos em comum, mas verá algumas grandes diferenças de acordo com a empresa. Provavelmente veremos esse tipo de função evoluir. Acho que você provavelmente verá CISOs e CIOs assumirem o cargo de Chief AI Officer. Você pode ver um chefe de pesquisa e desenvolvimento se tornar parte das descrições de cargos ou de outras funções. Acho que a chave será apenas a clareza do que é esperado. Acho que devemos ter cuidado para não fazermos um exercício de seleção de itens sobre IA. É como se, sim, tivéssemos aquele oficial. O que isso significa? Haverá diferentes áreas de foco, mas o elemento-chave para isso será o que a empresa busca alcançar por meio dessa função e com inteligência artificial?
0:07:17.4 Max Havey: Absolutamente. Colocando os resultados em primeiro lugar e o que eles querem ver ao usar esses tipos de tecnologias e como estão tentando se proteger com elas ou contra elas.
0:07:25.6 Kiersten Todt: Sim. Sim
0:07:26.5 Max Havey: Excelente. Bem, para passar o bastão de volta para você, como alguém com uma formação muito forte no setor público/governamental, você tem alguma previsão sobre segurança e o setor público em 2025?
0:07:36.0 Kiersten Todt: Bem, acho que provavelmente veremos mais intrusões de alto perfil da China como ator de um estado-nação. Vimos a família de tufões este ano, Flax Typhoon, Volt Typhoon, Salt Typhoon. E acho que veremos algo com um impacto semelhante, se não maior, que potencialmente revelará de uma maneira diferente como a China está posicionada em redes críticas de infraestrutura. E a chave será o quão preparados estamos para responder a isso? Como estamos compartilhando isso com nossos parceiros de infraestrutura crítica? Isso muda a forma como estamos nos protegendo, como estamos tratando essa ameaça que sabemos ser finita neste período entre agora e 2027, quando há uma previsão de que a China tomará uma ação estratégica contra Taiwan? Então, acho que analisar não apenas a consciência de que esse tipo de evento seja revelado e público, mas o que fazemos com ele como nação?
0:08:32.8 Max Havey: Com certeza. E, especificamente, o que a detecção de outro incidente como esse realmente significaria para a segurança do setor federal?
0:08:38.8 Kiersten Todt: Bem, acho que o que você pode ver potencialmente é se isso cria um catalisador para a regulamentação? Estamos vendo muita rotatividade e discussão nos últimos dois anos sobre a regulamentação de infraestrutura crítica, como analisamos os setores e a proteção de setores e agências de gerenciamento de riscos setoriais. Sempre houve essa preocupação em regular a infraestrutura crítica em toda a infraestrutura, porque diferentes... Há colaboração e, novamente, essa variabilidade. Acho que, se observarmos esses ataques continuando acontecendo em infraestruturas críticas, isso eleva o nível do que é esperado? Como estamos vendo a organização do governo federal para trabalhar com a indústria e proteger a infraestrutura crítica? Acho que isso poderia criar, novamente, um catalisador para algumas dessas discussões e, potencialmente, espero que outras ações ajudem a esclarecer suas funções, mas, principalmente, a melhorar e aumentar a segurança e proteção.
0:09:28.7 Max Havey: Definitivamente. E o que isso também significa para os CISOs globais, mesmo para pessoas fora dos EUA? O que esses tipos de incidentes indicam ou sinalizam para eles?
0:09:37.2 Kiersten Todt: Acho que, como sabemos, a cibersegurança realmente não respeita os limites geográficos. Portanto, as preocupações que temos são certamente compartilhadas por nossos parceiros econômicos que pensam da mesma forma por nossos aliados ocidentais. Espero que o trabalho que o Departamento de Estado tenha feito com a agência que o embaixador Nate Fickett está executando sobre tecnologias emergentes e realmente analisando a diplomacia em segurança cibernética e criando alguma normalização e harmonização da regulamentação, mas também respostas de que isso proporcionará uma oportunidade para trabalharmos juntos e colaborarmos de forma mais global e internacional, o que é sempre algo em que achamos que podemos fazer melhor.
0:10:14.7 Max Havey: Com certeza, porque isso não é necessariamente uma coisa nova, mas está se tornando cada vez mais conhecido à medida que esses incidentes acontecem. Isso se torna cada vez mais uma notícia para pessoas em todo o mundo.
0:10:23.9 Kiersten Todt: Bem, acho que o preposicionamento da China e de nossa infraestrutura está muito especificamente relacionado a Taiwan, isso é novo, e acho que é por isso que estamos vendo a desclassificação dessa inteligência neste país, em particular, ainda mais voltada para o futuro, devido à importância de compartilhar essas informações, garantindo que a conscientização, monitores, CISOs e CEOs estejam prestando muita atenção após o Salt Typhoon, que foi entendemos que a China estava na rede de comunicações que as empresas haviam violado empresas de comunicação e, especificamente, o sistema que estava compartilhando dados com as autoridades sobre escutas telefônicas. Vários CEOs e executivos seniores com quem fiz algum trabalho cibernético perguntaram o que isso significa para mim? E acho que isso ainda é um desafio quando vemos empresas proeminentes que ainda estão questionando como deveriam responder a isso. Espero que haja mais engajamento colaborativo por parte dessas empresas e que o trabalho contínuo com a indústria e o governo e essa colaboração aumentem.
0:11:25.5 Max Havey: Absolutamente. Colaboração é a palavra-chave quando se trata de muitas coisas de segurança. Um tema anterior desta série foi a segurança como esporte coletivo. E acho que a ideia de que todo mundo está lidando com isso em algum momento, todo mundo está tentando descobrir a melhor forma de se proteger contra essas novas ameaças à medida que elas estão surgindo, é extremamente importante.
0:11:45.1 Kiersten Todt: Sim, com certeza.
0:11:46.4 Max Havey: Eu adoraria ver, você tem alguma outra previsão que está em alta no seu cérebro no momento?
0:11:51.8 Kiersten Todt: Acho que é tanto uma previsão quanto uma aspiração. Acho que se eu disser isso como uma previsão, talvez eu possa manifestá-la e fazer com que aconteça. Mas acho que a forma como identificamos a infraestrutura crítica, o que é infraestrutura crítica, continua evoluindo com base no ambiente de ameaças e em outros problemas. Mas a nuvem, a questão da nuvem, o que ela é, o que colocamos lá, para mim, precisamos identificar a nuvem como infraestrutura crítica. E acho que, estando nesse espaço há muito tempo, houve um período em que a identificação de uma empresa como infraestrutura crítica não era realmente vista como uma oportunidade, era vista quase mais como uma penalidade, porque normalmente significava que você seria regulamentado e que havia mais restrições do que oportunidades.
0:12:34.9 Kiersten Todt: Espero, e sei que há muitos esforços em andamento por parte do governo federal, que a identificação como infraestrutura crítica ofereça a oportunidade de interagir mais estreitamente e diretamente com o governo federal para ajudar a proteger o que é infraestrutura crítica. E acho que isso também ajuda a gerenciar como esses serviços são fornecidos. Então, certamente, os provedores de serviços em nuvem dizem que, em todos os lugares em que estão onipresentes, precisamos pensar em como gerenciar essa ferramenta e como garantir que ela tenha um nível básico de segurança, considerando o quão conectada ela está à forma como operamos, não apenas como nação, mas como mundo.
0:13:10.7 Max Havey: Absolutamente. E quero dizer, como esse tipo de mudança afetaria a forma como as organizações hoje pensam sobre a nuvem enquanto operam nela?
0:13:19.9 Kiersten Todt: Acho que isso pode significar apenas que há um esforço mais deliberado para entender o que significa trazê-los para sua organização. Acho que é vista como uma tecnologia que sim, é assim que eu tenho que operar, mas em algumas empresas, pode até ser vista como algo bom não precisar ter. Acho que se virmos isso como algo tão onipresente que tem tanto impacto e pontos de contato nas cadeias de suprimentos, será mais cuidadoso, não apenas sobre como o estamos escolhendo, mas também sobre as perguntas que fazemos ao contratar um provedor de serviços em nuvem.
0:13:49.7 Max Havey: Com certeza. Até certo ponto, parece quase tão importante para o trabalho diário e para manter a continuidade dos negócios quanto a Internet. Eles estão ocupando um espaço semelhante onde, para alguns, a internet não era um recurso imperativo, não era vista como uma necessidade.
0:14:02.8 Kiersten Todt: Certo, exatamente.
0:14:03.5 Max Havey: E a nuvem está meio que se movendo para o mesmo tipo, costumava ser bom ter isso, mas agora você absolutamente precisa ter isso.
0:14:09.3 KierstenTodt: Sim, exatamente. Exatamente.
0:14:11.9 Max Havey: Bem, e nesse mesmo tipo de linha, que tipo de resultados esperamos ver desse tipo de reclassificação?
0:14:17.3 Kiersten Todt: Acho que esperamos ver apenas uma maior segurança e uma maior colaboração com o governo sobre como a tecnologia avança e garantir que não substituamos a segurança e a inovação. Eu não acho que eles precisem ser mutuamente exclusivos. Em tecnologia, às vezes é vista dessa forma, mas podemos avançar de forma cuidadosa e deliberada e garantir níveis importantes de segurança e proteção, não apenas para a empresa que é fornecedora de serviços em nuvem, mas principalmente para as empresas que atende e para as cadeias de suprimentos que tocam esse ecossistema.
0:14:50.3 Max Havey: Com certeza. É a noção de que o mundo se tornou muito menor à medida que todos nos movemos para um mundo mais híbrido. Todos estão operando na nuvem agora. É algo que, como sua avó, conhece agora.
0:15:00.6 Kiersten Todt: Sim.
0:15:00.7 Max Havey: E toca tudo de uma forma que você e eu provavelmente reconhecemos que todos nós meio que tocamos, mas de uma forma que, como uma pessoa comum na rua, talvez não tenha percebido até ser jogada bem na frente dela.
0:15:10.7 Kiersten Todt: Sim, sim, exatamente.
0:15:12.4 Max Havey: Então, os ataques na nuvem, os tipos de ameaças que estamos vendo na nuvem, tornarão isso potencialmente mais catastrófico.
0:15:20.2 KierstenTodt: Sim. Bem, e acho que é exatamente assim que analisamos isso, vemos como os sistemas são interdependentes com a nuvem. Então, algo que acontece com a nuvem na nuvem com uma empresa que realmente tem impactos abrangentes.
0:15:33.8 Max Havey: E há algum exemplo recente desse tipo de coisa que você viu no mundo e que estaria disposto a compartilhar da mesma forma que viu esse tipo de interdependência se desenrolar?
0:15:41.4 Kiersten Todt: Bem, acho que o primeiro exemplo que meio que abalou todo mundo um pouco porque mostrou como algo poderia impactar foi quando houve a violação da AWS que impactou a Capital One. Foi determinado que a Capital One tinha a vulnerabilidade e não era por causa da Amazon. E não me lembro agora dos detalhes, mas foi esse primeiro tipo de consciência pública de que, ei, essas coisas estão conectadas e, se algo acontece com uma empresa, é realmente uma discussão sobre a cadeia de suprimentos. Se falarmos sobre essas coisas em novos termos, ecossistema de nuvem, mas sempre se trata de uma cadeia de suprimentos. É como o impacto de uma empresa que está em sua cadeia de suprimentos, não apenas na forma como você produz, mas na forma como você opera, pode impactar a própria empresa. A segurança, a segurança, sua vulnerabilidade.
0:16:26.0 Max Havey: Absolutamente. Então, para resumir as coisas aqui, Kiersten, você poderia nos dar uma resolução que você tem como especialista em segurança e o que você está tomando como especialista em segurança em 2025?
0:16:40.7 KierstenTodt: Claro. Então, trabalho nesse espaço há mais de duas décadas e sempre analisamos a natureza abstrata da tecnologia e do ciberespaço. É a peça de tecnologia. E, mais recentemente, nos últimos cinco a sete anos, o trabalho que fiz se concentrou muito mais no ser humano envolvido quando se trata de segurança cibernética. E qual é o papel dos humanos? No final das contas, a cibersegurança é uma ferramenta. Ela protege a infraestrutura, mas os humanos são a base de como estamos protegendo nossa nação com a segurança de que temos uma responsabilidade e responsabilidade como indivíduo. E essa é uma das razões pelas quais assumi esse papel na Wondros, que na verdade trata de engajar conteúdo criativo para criar impacto social, criar movimentos humanos em que o comportamento das pessoas mude para melhor, analisando questões de política social, mas também analisando tecnologia.
0:17:32.2 Kiersten Todt: E há um mês, lançamos uma campanha com a filantropia de Craig Newmark chamada Take9, que trata de como nós, como indivíduos, deixamos de nos tornar vítimas em um momento em que não somos vítimas da urgência de passarmos de uma reação para responder com atenção à atuação? E acho que se eu olhar para o próximo ano e pensar na visão de Craig Newmark, ou seja, se envolvermos comunidades de defensores civis cibernéticos, começaremos a criar uma comunidade e uma cultura que exijam mais da indústria, da infraestrutura crítica e não como nós versus eles, mas de forma colaborativa. Então, o que eu gostaria de ver no próximo ano é que tenhamos mais pessoas ativistas, ativando e pedindo mais segurança, pedindo mais segurança dessas empresas, porque podemos implementar muito disso no nível do governo federal. Mas, no final das contas, são empresas públicas, empresas privadas que se baseiam na geração de receita. E a atração mais forte é que, se indivíduos, entidades e organizações começarem a tomar decisões sobre as empresas e organizações com as quais trabalham com base em sua postura de segurança e segurança, isso contribuirá muito na criação de culturas de segurança, culturas de segurança e, o que é importante, na criação de uma nação mais segura e resiliente.
0:18:49.5 MaxHavey: Absolutamente. Eu adoro isso. É a ideia de que todos são responsáveis por sua própria segurança cibernética e pela segurança cibernética de todos nós ao nosso redor, e uma maré crescente meio que eleva todos os navios.
0:18:57.6 Kiersten Todt: Exatamente, porque qualquer evento que aconteça, pode ser massivo, pode ser global, mas afeta as comunidades. E você começa com uma das coisas que fizemos na CISA, que eu acho que foi um grande sucesso nesse governo, foi realmente reforçar o trabalho dos escritórios regionais, porque quando há um evento de uma empresa de energia, um distrito escolar, ter pessoas no local que são especialistas em segurança cibernética e segurança física, ajudar na resposta imediata é muito importante, porque o governo federal é importante, mas temos que realmente trabalhar com as comunidades para responder rapidamente e para gerenciar o impacto o mais rápido possível.
0:19:36.4 MaxHavey: Excelente. Sim, não, eu adoro isso. Kiersten, eu posso ver nossos produtores meio que acenando para mim dizendo que estamos chegando à hora, mas há mais alguma coisa que você gostaria de acrescentar antes de fecharmos aqui?
0:19:44.0 Kiersten Todt: Não, agradeço a colaboração. Agradeço a consideração. Acho que quanto mais tipos de discussões divulgamos ideias, isso ajuda a inspirar novas ações. Então, obrigado pela oportunidade de falar com você.
0:19:54.0 Max Havey: Absolutamente. Muito obrigado por se juntar a nós hoje. Foi uma conversa muito boa e estou muito animada em ouvir o que outras pessoas pensam sobre todas as coisas legais que você tem a dizer aqui. Você está ouvindo o podcast Security Visionaries e eu fui seu apresentador, Mak Havey. Se você gostou desse episódio, compartilhe-o com um amigo e assine Security Visionaries em sua plataforma de podcast favorita. Lá você pode ouvir nosso catálogo anterior de episódios e ficar de olho nos novos, lançados todo mês, apresentados por mim ou pela minha co-apresentadora, a maravilhosa Emily Wearmouth. E com isso, nos vemos no próximo episódio.
[música]
Por que Netskope 
){kind=icon}
