Connect with us

Jack Cherkas, CISO Global da Syntax – Série de Entrevistas

Entrevistas

Jack Cherkas, CISO Global da Syntax – Série de Entrevistas

mm
Published

Jack Cherkas, CISO Global da Syntax, é um executivo de segurança cibernética com experiência profunda em segurança de nuvem, resiliência cibernética, arquitetura de empresa e segurança de IA. Ele ocupou cargos seniores na Syntax, PwC UK, Kyndryl e IBM, onde ajudou a construir e escalar operações de segurança, gerenciar esforços de resposta a incidentes e desenvolver estratégias de resiliência cibernética para ambientes de empresa de grande escala. Na Syntax, ele lidera a segurança cibernética global em toda a empresa, incluindo pessoas, sistemas, centros de dados, serviços de nuvem gerenciados e ofertas de segurança voltadas para os clientes, supervisionando uma equipe de mais de 65 profissionais de segurança em oito países.

Syntax é um provedor global de serviços de TI e nuvem gerenciada, especializado em aplicações empresariais de missão crítica, particularmente ambientes SAP e Oracle. A empresa apoia organizações com migração para a nuvem, hospedagem gerenciada, segurança cibernética, gerenciamento de aplicações empresariais e operações habilitadas por IA em infraestruturas híbridas e multi-nuvem. Seu trabalho se concentra em ajudar as empresas a modernizar, proteger e operar sistemas de negócios complexos em escala.

Você liderou iniciativas de segurança cibernética na IBM, Kyndryl, PwC e agora na Syntax. Ao longo dessa jornada, como sua perspectiva sobre a segurança de tecnologias emergentes, como a IA, evoluiu, especialmente à medida que as organizações passam da experimentação para a produção?

Minha carreira acompanhou uma série de disrupturas, cada uma exigindo que a segurança se adaptasse a uma nova superfície de controle. Na IBM, nos primórdios da nuvem, a pergunta era se poderíamos confiar na infraestrutura de outra empresa para executar cargas de trabalho de missão crítica. A resposta foi um modelo de responsabilidade compartilhada e uma geração de controles nativos da nuvem.

Em seguida, veio a era do ransomware. O NotPetya, em 2017, desabilitou empresas em horas, e a indústria aprendeu que malware capaz de se espalhar poderia derrubar cadeias de suprimento globais da noite para o dia. A resposta foi se preparar para quando (e não se) um ataque cibernético ocorreria, segmentação de rede, backups imutáveis e um esforço sério em identidade.

Ao longo de meu tempo na Kyndryl e PwC, o SaaS passou da periferia para o centro de todos os patrimônios. Cargas de trabalho saíram dos centros de dados e entraram na pilha de outra empresa, a identidade se tornou a periferia, e a confiança zero parou de ser um diagrama e começou a ser um modelo operacional.

Agora, na Syntax, estamos na onda do GenAI, onde o próprio sistema raciocina, gera e age. Cada onda nos deu uma nova superfície de controle, sem aviso suficiente e com uma janela mais curta entre experimentação e produção. A nuvem levou anos. O SaaS levou trimestres. O GenAI leva semanas. Os CISOs que acompanham são aqueles que pararam de tratar cada onda como uma exceção e começaram a tratar a adoção rápida como o estado estável.

À medida que as organizações aceleram a adoção da IA, como você avalia o risco de que a confiança, e não apenas a conformidade, esteja sendo comprometida? Quais são os primeiros indicadores de que isso está começando a acontecer?

A confiança é a base de qualquer boa adoção de IA. Os primeiros indicadores não estão no relatório de auditoria, estão nos sinais operacionais. Implantações de IA sombra que ninguém possui. Aprovação de compras de fornecedores de GenAI sem revisão de segurança. Linhagem de dados que quebra no momento em que você pergunta de onde veio o conjunto de treinamento. Agentes de IA concedidos permissões de administrador porque ninguém queria retardar o projeto. Quando você vê esses quatro sinais em uma organização, a confiança já está sendo gasta mais rápido do que está sendo ganha. A liderança geralmente é a última a saber.

Muitas empresas estão adotando a IA mais rápido do que podem segurá-la. Quais são os riscos mais comuns que você vê hoje quando a governança fica atrás da inovação?

Quando a governança fica atrás, três coisas acontecem, e nenhuma delas aparece como incidentes de segurança até muito mais tarde. Primeiro, a exposição regulatória se acumula silenciosamente: uma implantação de IA que viola os requisitos de transparência do Ato de IA da UE não dispara um alarme; ela aparece em uma auditoria dois anos depois como uma multa. Segundo, a confiança do cliente se desgasta em transações que você nunca vê: prospectos escolhem concorrentes que podem provar a governança, e sua equipe de vendas nunca descobre por quê. Terceiro, a qualidade da decisão se deteriora: a organização toma mais decisões influenciadas pela IA, mas não pode explicar ou auditar essas decisões, e más decisões se acumulam em lugares onde ninguém está olhando. O custo de uma governança de IA fraca é a erosão lenta da auditoria, das vendas e da qualidade da decisão, terminando em uma violação prejudicial à reputação.

A partir de sua experiência em construir e escalar serviços de segurança gerenciados e operações de SOC, como as organizações devem repensar seus modelos de segurança para lidar com sistemas e tomadas de decisão autônomas impulsionados por IA?

A IA é um novo vetor de ataque, um multiplicador de ameaças e uma peça crucial do quebra-cabeça defensivo, e o modelo de segurança precisa se adaptar para cobrir todos os três ao mesmo tempo.

Como um vetor de ataque, as próprias plataformas de GenAI se tornam alvos a serem defendidos. Como um multiplicador de ameaças, os atacantes estão usando o GenAI para criar phishing em escala, gerar código de exploração, automatizar reconhecimento e descobrir vulnerabilidades à velocidade da máquina. Como uma peça defensiva, a mesma tecnologia virada para o outro lado é a única resposta realista: triagem impulsionada por IA, caça a ameaças automatizada e aumento do analista não são mais opcionais; são como um SOC acompanha um adversário aumentado por IA. Se eles são aumentados por IA e nós não somos, a lacuna se acumula com cada ciclo.

Isso também cria um novo tipo de ator que o modelo precisa governar. Na Syntax, já pensamos em agentes de IA como se juntando ao organograma, ao lado dos humanos, o que estabelece a barra para como os seguramos. Os agentes de IA precisam de tudo o que damos aos usuários humanos (identidade, permissões baseadas em função, logs de atividade, linhas de base comportamentais) mais as mesmas alavancas de contenção que usamos em contas comprometidas: a capacidade de desabilitar, isolar e revogar. A diferença está na velocidade. Os agentes agem em milissegundos, então essas alavancas precisam ser imediatas e automatizadas, e não o final de um fluxo de resposta a incidentes.

Na Syntax, nosso Centro de Operações de Segurança Global está evoluindo para que a IA aumente o analista humano, enquanto nossos funcionários constroem fluxos de trabalho agênticos e agentes dentro da Plataforma de GenAI da Syntax, que fornece guardrails contra viés, toxicidade e controles para privacidade e segurança por padrão.

Essa é a repensada. Defender a IA como um alvo. Implantar a IA como um defensor. Governar o uso da IA.

Há frequentemente tensão entre velocidade e controle. Como as organizações podem manter a velocidade da inovação enquanto implementam supervisão e guardrails significativos para os sistemas de IA?

Velocidade e controle parecem opostos até que você construa uma governança que viaja com o projeto, em vez de bloqueá-lo. O erro é colocar a governança no portão: um comitê, uma aprovação, uma revisão trimestral. Até que o portão se abra, a equipe já foi embora ou perdeu o momentum. O modelo que funciona é processos redefinidos com a governança embutida. Comunicação clara e consistente é o ponto de partida, seguida por padrões pré-aprovados, fluxos de dados pré-aprovados e modelos de permissão pré-definidos. As equipes obtêm velocidade, as equipes de segurança obtêm visibilidade, e a troca que todos supõem existir acaba por ser um processo mal projetado. Isso é tudo sobre equilibrar segurança com inovação contra a apetite de risco de cada organização.

Você trabalhou em estratégias de resiliência cibernética e resposta a incidentes em larga escala. Como a introdução da IA muda a natureza das ameaças cibernéticas e a forma como as organizações devem se preparar para elas?

A IA está turboalimentando as ameaças em diferentes vetores. Escala: phishing e reconhecimento à velocidade da máquina contra milhares de alvos simultaneamente. Sofisticação: engenharia social impulsionada por deepfakes que derrota a verificação de voz e vídeo. Identidade: identidades sintéticas que passam nos testes de identidade projetados para humanos.

Para a resposta a incidentes, as implicações são operacionais. Você precisa de detecção que não dependa de humanos reconhecendo padrões à velocidade humana. Você precisa de protocolos de verificação que suponham que a voz e o vídeo possam ser falsificados. E você precisa de livros de jogadas de resposta a incidentes que cubram explicitamente incidentes relacionados à IA, porque as etapas de recuperação não são as mesmas que as de um evento de ransomware.

Na Syntax, como é a “segurança por design” da IA em um ambiente empresarial complexo e real?

Na Syntax, significa equilibrar inovação e segurança por meio da adoção de nossa Plataforma de GenAI com guardrails embutidos, nossos Serviços e Aplicativos de GenAI aprovados, restringidos e proibidos, e impulsionando uma cultura de segurança primeiro por meio de nosso Escritório de Governança de IA. Para nossa Organização de Segurança Global, significa nos posicionar como um habilitador para os negócios, e não um bloqueador, apoiando os negócios com suas prioridades estratégicas enquanto protegemos a Syntax de acordo com nosso apetite de risco.

Há uma narrativa crescente de que a segurança e a conformidade não são mais bloqueadores, mas habilitadores do crescimento. O que precisa mudar cultural e operacionalmente para que as organizações realmente adotem essa mentalidade?

A maior mudança é o que o sucesso parece. As equipes de segurança foram medidas por décadas pelo que não aconteceu: nenhuma violação, nenhum incidente, nenhuma descoberta de auditoria. Essa métrica recompensa dizer não. As equipes que operam como habilitadores medem algo diferente: negócios ganhos porque os controles eram demonstráveis, lançamentos que atingiram a data porque a segurança liberou o caminho, e inovações que passaram pela governança em vez de contorná-la.

Operacionalmente, precisa de processos redefinidos com a governança embutida, combinados com habilitação ativa, como nossa Plataforma de GenAI, que torna a segurança o caminho mais fácil, e educação e programas de GenAI acessíveis, como nossa Iniciativa de Campeões de IA.

A cultura segue o que você incentiva e o que você habilita. Mude o que você recompensa, equipe as pessoas com as ferramentas certas e o treinamento certo no momento certo, e você muda o que elas fazem. Essa é a jornada que a Syntax está empreendendo.

À medida que a IA é cada vez mais incorporada aos fluxos de trabalho empresariais, como os CISOs devem colaborar com líderes de IA, cientistas de dados e equipes de produtos para garantir a responsabilidade sem retardar o progresso?

O CISO que espera ser convidado chegará tarde. O CISO que chega cedo, com padrões práticos em vez de objeções de política, se torna o parceiro que os projetos de IA realmente querem à mesa. Na prática, isso significa sessões de design conjuntas com as equipes de IA, assinaturas de segurança que se sentam ao lado das funcionais, em vez de após elas, e uma política de porta aberta. Isso muda a conversa de ser o “Departamento de Não” para “Sim, mas” ou “Não, mas” como um parceiro disposto e colaborativo para os negócios.

Olhando para o futuro, você acredita que veremos um quadro global padronizado para a governança da IA, ou as organizações precisarão construir suas próprias arquiteturas de confiança internas, independentemente da regulação?

Ambos, nessa ordem. Veremos uma convergência faseada em um pequeno número de quadros regionais, o Ato de IA da UE primeiro, outros seguindo com variações locais. Não veremos um padrão global único nesta década devido à fragmentação geopolítica. Portanto, as organizações acabarão fazendo duas coisas em paralelo: cumprir o quadro que se aplica ao seu maior mercado e executar uma arquitetura de confiança interna que excede o quadro mais fraco. A arquitetura interna importa mais do que o padrão externo, porque os reguladores se movem lentamente e as ameaças não. As empresas que constroem arquiteturas de confiança internas agora passarão a próxima década dizendo “já fazemos isso” a cada novo regulador que chegar.

Obrigado pela grande entrevista, leitores que desejam aprender mais devem visitar Syntax.

mm

Antoine é um líder visionário e sócio-fundador da Unite.AI, impulsionado por uma paixão inabalável em moldar e promover o futuro da IA e da robótica. Um empreendedor serial, ele acredita que a IA será tão disruptiva para a sociedade quanto a eletricidade, e é frequentemente pego falando sobre o potencial das tecnologias disruptivas e da AGI. Como um futurista, ele está dedicado a explorar como essas inovações moldarão nosso mundo. Além disso, ele é o fundador da Securities.io, uma plataforma focada em investir em tecnologias de ponta que estão redefinindo o futuro e remodelando setores inteiros.