Connect with us

Jack Cherkas, Global CISO di Syntax – Intervista

Interviste

Jack Cherkas, Global CISO di Syntax – Intervista

mm
Published

Jack Cherkas, Global CISO di Syntax, è un dirigente di cybersecurity con una profonda esperienza in materia di sicurezza cloud, resilienza informatica, architettura aziendale e sicurezza dell’AI. Ha ricoperto ruoli di alto livello in Syntax, PwC UK, Kyndryl e IBM, dove ha contribuito a costruire e ampliare le operazioni di sicurezza, gestire gli sforzi di risposta agli incidenti e sviluppare strategie di resilienza informatica per ambienti aziendali di grandi dimensioni. In Syntax, guida la sicurezza informatica globale in tutta l’azienda, sovrintendendo a un team di oltre 65 professionisti della sicurezza in otto paesi.

Syntax è un fornitore di servizi IT e cloud gestito a livello globale, specializzato in applicazioni aziendali mission-critical, in particolare ambienti SAP e Oracle. L’azienda supporta le organizzazioni nella migrazione al cloud, hosting gestito, sicurezza informatica, gestione delle applicazioni aziendali e operazioni abilitate all’AI su infrastrutture cloud ibride e multi-cloud. Il suo lavoro si concentra sull’aiutare le imprese a modernizzare, proteggere e gestire sistemi aziendali complessi a larga scala.

Ha guidato iniziative di sicurezza informatica in IBM, Kyndryl, PwC e ora Syntax. Come è cambiata la sua prospettiva sulla sicurezza delle tecnologie emergenti come l’AI, in particolare mentre le organizzazioni passano dall’esperimentazione alla produzione?

La mia carriera ha seguito una serie di interruzioni, ognuna delle quali ha richiesto che la sicurezza si adeguasse a una nuova superficie di controllo. In IBM, ai primi tempi del cloud, la domanda era se potevamo fidarci dell’infrastruttura di qualcun altro per eseguire carichi di lavoro mission-critical. La risposta è stata un modello di responsabilità condivisa e una generazione di controlli cloud-native.

Poi è arrivata l’era del ransomware. NotPetya nel 2017 ha disabilitato aziende in poche ore e l’industria ha imparato che il malware wormable poteva mettere fuori uso catene di approvvigionamento globali in una notte. La risposta è stata prepararsi per quando (e non se) un attacco informatico sarebbe accaduto, segmentazione di rete, backup immutabili e una spinta seria sull’identità.

Durante il mio tempo in Kyndryl e PwC, il SaaS è passato dall’edge al centro di ogni estate. I carichi di lavoro sono stati spostati dai data center e su qualcun altro stack, l’identità è diventata il perimetro e Zero Trust ha smesso di essere un diagramma e ha iniziato a essere un modello operativo.

Ora in Syntax, ci troviamo nell’onda GenAI, dove il sistema stesso ragiona, genera e agisce. Ogni onda ci ha dato una nuova superficie di controllo, non abbastanza avvertimento e una finestra più breve tra sperimentazione e produzione. Il cloud ha richiesto anni. Il SaaS ha richiesto trimestri. GenAI richiede settimane. I CISO che tengono il passo sono quelli che hanno smesso di trattare ogni onda come un’eccezione e hanno iniziato a trattare l’adozione rapida come lo stato stazionario.

Mentre le organizzazioni accelerano l’adozione dell’AI, come valuta il rischio che la fiducia, e non solo la conformità, sia compromessa? Quali sono i primi indicatori che questo sta iniziando ad accadere?

La fiducia è la base di ogni buona adozione dell’AI. I primi indicatori non si trovano nel rapporto di audit, ma nei segnali operativi. Distribuzioni di AI shadow che nessuno possiede. Acquisto di fornitori di GenAI senza revisione di sicurezza. Lineage dei dati che si interrompe nel momento in cui si chiede da dove provengono i dati di training. Agenti di AI concesso i permessi di amministratore perché nessuno voleva rallentare il progetto. Quando si vedono quei quattro segnali in un’organizzazione, la fiducia è già stata spesa più velocemente di quanto non sia stata guadagnata. La leadership è di solito l’ultima a saperlo.

Molte aziende stanno adottando l’AI più velocemente di quanto possano assicurarla. Quali sono i rischi più comuni che vede oggi quando la governance è in ritardo rispetto all’innovazione?

Quando la governance è in ritardo, tre cose accadono, e nessuna di esse si manifesta come incidente di sicurezza fino a molto più tardi. In primo luogo, l’esposizione normativa si accumula silenziosamente: una distribuzione di AI che viola i requisiti di trasparenza del Regolamento AI dell’UE non attiva un allarme; si manifesta in un’audit due anni dopo come una multa. In secondo luogo, la fiducia del cliente si erode in transazioni che non si vedono: i potenziali clienti scelgono i concorrenti che possono dimostrare la governance, e il team di vendita non scopre mai il perché. In terzo luogo, la qualità della decisione si deteriora: l’organizzazione prende più decisioni influenzate dall’AI, ma non può spiegarle o auditarle, e le cattive decisioni si accumulano in luoghi in cui nessuno sta guardando. Il costo di una governance debole dell’AI è l’erosione lenta dell’audit, delle vendite e della qualità delle decisioni, che alla fine porta a una violazione dannosa per la reputazione.

Basandosi sulla sua esperienza nella costruzione e nell’ampliamento di servizi di sicurezza gestiti e operazioni del SOC, come dovrebbero le organizzazioni rivedere i loro modelli di sicurezza per gestire i sistemi guidati dall’AI e la presa di decisione autonoma?

L’AI è un nuovo vettore di attacco, un moltiplicatore di minacce e un pezzo fondamentale del puzzle difensivo, e il modello di sicurezza deve adattarsi per coprire tutti e tre allo stesso tempo.

Come vettore di attacco, le piattaforme GenAI stesse diventano bersagli da difendere. Come moltiplicatore di minacce, gli attaccanti stanno utilizzando GenAI per creare phishing a scala, generare codice di sfruttamento, automatizzare la ricognizione e scoprire vulnerabilità a velocità di macchina. Come pezzo difensivo, la stessa tecnologia rivolta nel senso opposto è la sola risposta realistica: la triage guidata dall’AI, la caccia alle minacce automatizzata e l’aumento degli analisti non sono più opzionali; sono come un SOC mantiene il passo con un avversario aumentato dall’AI. Se sono aumentati dall’AI e noi non lo siamo, il divario si accumula con ogni ciclo.

Ciò crea anche un nuovo tipo di attore che il modello deve governare. In Syntax, pensiamo già agli agenti di AI come se stessero entrando a far parte dell’organigramma, accanto agli esseri umani, il che stabilisce la barra per come li proteggiamo. Gli agenti di AI hanno bisogno di tutto ciò che diamo agli utenti umani (identità, permessi basati sui ruoli, registri delle attività, linee guida comportamentali) più gli stessi lever di contenimento che utilizziamo per gli account compromessi: la capacità di disabilitare, isolare e revocare. La differenza è la velocità. Gli agenti agiscono in millisecondi, quindi quei lever devono essere immediati e automatizzati, non la parte finale di un flusso di lavoro di risposta agli incidenti.

In Syntax, il nostro Global Security Operations Center sta evolvendo in modo che l’AI aumenti l’analista umano, mentre i nostri dipendenti costruiscono flussi di lavoro agente e agenti all’interno della piattaforma GenAI di Syntax, che fornisce barriere di guardia contro la parzialità, la tossicità e i controlli per la privacy e la sicurezza per impostazione predefinita.

Questo è il ripensamento. Difendere l’AI come bersaglio. Distribuire l’AI come difensore. Governare l’uso dell’AI.

C’è spesso tensione tra velocità e controllo. Come possono le organizzazioni mantenere la velocità dell’innovazione mentre implementano un controllo e delle barriere di guardia significativi per i sistemi di AI?

La velocità e il controllo sembrano opposti fino a quando non si costruisce una governance che viaggia con il progetto piuttosto che bloccarlo. L’errore è mettere la governance alla porta: un comitato, un’autorizzazione, una revisione trimestrale. Quando la porta si apre, il team ha già aggirato o perso la velocità. Il modello che funziona è il processo ridefinito con la governance al suo interno. La comunicazione chiara e coerente è il punto di partenza, seguita da modelli preapprovati, flussi di dati preclearati e modelli di permesso predefiniti. I team ottengono velocità, i team di sicurezza ottengono visibilità e il compromesso che tutti assumono esiste si rivela essere un processo mal progettato. Si tratta di bilanciare la sicurezza con l’innovazione contro l’appetito per il rischio di ogni organizzazione.

Ha lavorato su strategie di resilienza informatica e risposta agli incidenti su larga scala. Come l’introduzione dell’AI cambia la natura delle minacce informatiche e il modo in cui le organizzazioni dovrebbero prepararsi?

L’AI sta aumentando le minacce su diversi vettori. Scala: phishing e ricognizione a velocità di macchina contro migliaia di bersagli contemporaneamente. Sofisticazione: ingegneria sociale guidata da deepfake che supera la verifica vocale e video. Identità: identità sintetiche che superano i controlli di identità progettati per gli esseri umani.

Per la risposta agli incidenti, le implicazioni sono operative. È necessario un rilevamento che non si basi sul riconoscimento di modelli da parte degli esseri umani a velocità umana. È necessario protocolli di verifica che assumano che la voce e il video possano essere falsificati. E sono necessari playbook di risposta agli incidenti che coprono esplicitamente gli incidenti correlati all’AI, perché i passaggi di recupero non sono gli stessi di quelli per un evento di ransomware.

In Syntax, cosa significa “progettato per la sicurezza” per l’AI in un ambiente aziendale complesso e reale?

In Syntax significa bilanciare l’innovazione e la sicurezza attraverso l’adozione della nostra piattaforma GenAI con barriere di guardia integrate, i nostri servizi e app GenAI approvati, limitati e proibiti, e guidando una cultura di sicurezza attraverso il nostro ufficio di governance dell’AI. Per la nostra organizzazione di sicurezza globale, significa posizionarsi come un abilitatore per l’azienda, non un blocco, supportando l’azienda con le sue priorità strategiche mentre proteggiamo Syntax in linea con il nostro appetito per il rischio.

C’è una narrativa crescente che la sicurezza e la conformità non sono più blocchi, ma abilitatori della crescita. Cosa deve cambiare culturalmente e operativamente perché le organizzazioni possano veramente adottare questa mentalità?

Il cambiamento più grande è ciò che significa il successo. I team di sicurezza sono stati misurati per decenni in base a ciò che non è accaduto: nessun violazione, nessun incidente, nessun risultato di audit. Quella metrica premia il dire di no. I team che operano come abilitatori misurano qualcosa di diverso: accordi vinti perché i controlli erano dimostrabili, lanci che hanno raggiunto la data perché la sicurezza ha sgombrato la strada, e innovazioni che sono passate attraverso la governance piuttosto che aggirarla.

Operativamente, richiede processi ridefiniti con la governance al loro interno, abbinati all’abilitazione attiva come la nostra piattaforma GenAI che rende la sicurezza il percorso più facile, e l’istruzione e i programmi GenAI accessibili, come la nostra iniziativa AI Champions.

La cultura segue ciò che si incentiva e ciò che si abilita. Cambiare ciò che si premia, equipaggiare le persone con gli strumenti giusti e la formazione giusta al momento giusto, e si cambia ciò che fanno. Questo è il viaggio che Syntax sta intraprendendo.

Con l’AI sempre più integrata nei flussi di lavoro aziendali, come dovrebbero i CISO collaborare con i leader dell’AI, gli scienziati dei dati e i team di prodotto per garantire la responsabilità senza rallentare il progresso?

Il CISO che aspetta di essere invitato sarà in ritardo. Il CISO che si presenta presto, con modelli pratici piuttosto che obiezioni di politica, diventa il partner che i progetti di AI vogliono veramente al tavolo. Nella pratica, significa sessioni di progettazione congiunte con i team di AI, autorizzazioni di sicurezza che siedono accanto a quelle funzionali piuttosto che dopo di esse, e una politica di porte aperte. Ciò cambia la conversazione da “Dipartimento del No” a “Sì, ma” o “No, ma” come partner disposto e collaborativo per l’azienda.

Guardando avanti, crede che vedremo un quadro globale standardizzato per la governance dell’AI, o le organizzazioni dovranno costruire le loro architetture di fiducia interne indipendentemente dalla regolamentazione?

Entrambe le cose, in quest’ordine. Vedremo una convergenza graduale su un numero limitato di quadri regionali, il Regolamento AI dell’UE per primo, seguito da altri con variazioni locali. Non vedremo uno standard globale in questo decennio a causa della frammentazione geopolitica. Quindi, le organizzazioni finiranno per fare due cose in parallelo: ottemperare al quadro che si applica al loro mercato più grande e gestire un’architettura di fiducia interna che superi qualunque quadro sia più debole. L’architettura interna conta più dello standard esterno, perché i regolatori si muovono lentamente e le minacce no. Le aziende che costruiscono architetture di fiducia interne adesso trascorreranno il prossimo decennio dicendo “già lo facciamo” a ogni nuovo regolatore che arriva.

Grazie per la grande intervista, i lettori che desiderano saperne di più possono visitare Syntax.

mm

Antoine è un leader visionario e socio fondatore di Unite.AI, guidato da una passione incrollabile per plasmare e promuovere il futuro dell'AI e della robotica. Un imprenditore seriale, crede che l'AI sarà altrettanto disruptiva per la società quanto l'elettricità, e spesso viene colto a parlare con entusiasmo del potenziale delle tecnologie disruptive e dell'AGI.
Come futurist, è dedicato a esplorare come queste innovazioni plasmeranno il nostro mondo. Inoltre, è il fondatore di Securities.io, una piattaforma focalizzata sugli investimenti in tecnologie all'avanguardia che stanno ridefinendo il futuro e ridisegnando interi settori.