Connect with us

Steve Tait, Chief Technology Officer at Skyhigh Security – Interview Series

Entrevistas

Steve Tait, Chief Technology Officer at Skyhigh Security – Interview Series

mm
Published
Updated

Steve Tait, Chief Technology Officer at Skyhigh Security, é um líder executivo de tecnologia experiente com mais de 25 anos de experiência em setores de cibersegurança, defesa, serviços financeiros e saúde. Ele se juntou à Skyhigh em agosto de 2024 para liderar a visão tecnológica, arquitetura e estratégia de infraestrutura de nuvem da empresa em Security Service Edge (SSE).

Skyhigh Security é uma empresa de cibersegurança nativa em nuvem de propriedade privada, sediada em San Jose, Califórnia, que oferece uma plataforma abrangente de Security Service Edge (SSE). A plataforma unifica soluções como CASB, Secure Web Gateway, Zero Trust Private Access, CNAPP, DLP e Remote Browser Isolation para proteger dados e garantir colaboração segura em web, nuvem, e-mail e aplicativos privados. Com foco em proteção de dados em tempo real, prevenção de ameaças e conformidade, a Skyhigh Security atende a mais de 3.000 clientes globalmente – incluindo muitas empresas da Fortune 500 e instituições financeiras importantes – por meio de uma arquitetura escalável e consciente de dados projetada para ambientes de trabalho híbridos modernos.

Você começou sua carreira em dados móveis antes de ascender a papéis de engenharia e liderança em diferentes setores – qual experiência inicial moldou sua paixão por cibersegurança e o levou a onde você está hoje?

Quando me juntei à BAE systems, ganhei insights sobre o trabalho de equipes incríveis que descompilam os vírus e malware mais maliciosos para aprender a se defender contra eles. A escala e a profissionalidade organizada da indústria do cibercrime foram um verdadeiro olho aberto. Por exemplo, o código por trás das violações cibernéticas pode às vezes ter sua herança rastreada até múltiplos atores estatais e organizações criminosas. Não se trata de adolescentes em quartos, é um negócio global sério. Defender contra isso é um bem genuíno para a sociedade, e eu queria fazer parte disso.

Você afirmou que “a transformação digital está acabada” e agora estamos entrando em uma era de transformação de IA – como você distingue uma fase da outra em termos de estratégia e resultados da empresa?

A Transformação Digital era sobre usar tecnologia para reengenharia de processos de negócios para torná-los mais eficientes, eficazes e fornecer uma melhor experiência ao cliente. A transformação de IA, do ponto de vista empresarial, busca alcançar o mesmo objetivo. A diferença fundamental, no entanto, é que a transformação digital alcança isso por meio da automação de processos, agregação de dados e visualização de dados avançada, enquanto a Transformação de IA alcança isso por meio da criação de conteúdo original, análise de acompanhamento e tomada de decisão autônoma. A Transformação Digital visava otimizar e racionalizar os processos de tomada de decisão humana. A Transformação de IA tem a capacidade de eliminar muitos deles completamente!

Qual é o maior desafio organizacional que as empresas enfrentam ao fazer a transição da automação clássica para a integração de IA geradora?

O nível de transformação necessário para realmente aproveitar isso é enorme. As empresas poderiam – e talvez devessem – parecer totalmente diferentes alguns anos a partir de agora. No entanto, apesar do hype, ainda está em seus primeiros dias. O maior problema organizacional hoje é, na verdade, o treinamento. Muitas empresas rolaram o vídeo corporativo usual de 20 minutos sobre IA, mas isso simplesmente não é suficiente. Os funcionários precisam aprender a aproveitar essa tecnologia, os riscos reais que ela apresenta e entender, mesmo que apenas um pouco, como ela funciona. Dessa forma, os funcionários em todos os níveis podem ajudar a empresa a se transformar com a tecnologia.

Na Security Magazine, você destacou injeções de prompts e alucinações entre os principais riscos – qual vetor de ameaça o preocupa mais, e como a Skyhigh está abordando isso?

A exfiltração de dados não intencional é, de longe, a maior ameaça corporativa em volume. Apenas com os dados que rastreamos na Skyhigh, vimos um aumento de 80% no upload de dados para LLMs nos últimos 12 meses. Muitas interfaces operam como assistentes de negócios e incentivam a upload de mais e mais informações. O ato de compartilhar informações com outra pessoa – pegar um arquivo e zipá-lo para upload em um local SFTP para análise de terceiros – faz com que o funcionário pare e pense sobre o que está fazendo e sobre os riscos potenciais. É apenas alguns passos para fazer isso e você se torna muito consciente de que está enviando para alguém. Estar a meio caminho de alguma análise usando uma ferramenta de IA e apenas colar um bloco de dados em um prompt para a IA fornecer uma resposta rápida é um esforço de segundos, mas a pergunta permanece: para onde foi esse dado e como foi usado? Por causa disso, o foco principal da Skyhigh é a prevenção de perda de dados para aplicações de IA, especialmente copilotos.

Você citou estatísticas mostrando que 94% dos aplicativos de IA carregam risco de LLM e 11% dos arquivos carregados para IA são sensíveis – quais tendências você vê em como as empresas estão respondendo para abordar essas questões?

As empresas ainda estão usando “política de usuário” e “bloqueio” como suas principais técnicas, mas muitas empresas permanecem cegas à quantidade de IA que está sendo usada todos os dias. Vemos muito interesse em aumentar a descoberta, visibilidade e na extensão de técnicas de Prevenção de Perda de Dados para IA, particularmente para aplicações de copiloto importantes.

Copilotos corporativos podem acessar vastas quantidades de dados proprietários – quais são as estratégias mais eficazes para prevenir vazamento de dados não autorizado ou mau uso por meio desses sistemas?

Como sempre, começa com política e treinamento. Seguindo isso, uma combinação de técnicas de rotulagem de dados e DLP são vitais. O rotulamento AIP da Microsoft, por exemplo, pode evitar que dados confidenciais sejam indexados pelo MSFT Copilot. Em combinação com ferramentas CASB e DLP, rótulos AIP podem ser adicionados automaticamente com base em classificações de dados. DLP realizado em dados de documento e prompt pode garantir a prevenção do upload não intencional de dados.

Você enfatizou o risco representado por desenvolvedores cidadãos criando seus próprios aplicativos – como as empresas podem equilibrar a inovação e garantir o desenvolvimento seguro?

Sempre volta ao treinamento. Apenas porque alguém é um “desenvolvedor cidadão” não significa que possa optar por não seguir os fundamentos de segurança que seriam parte do treinamento padrão de um engenheiro. Eles não precisam saber tudo o que um engenheiro de software habilidoso pode saber, claro, mas conceitos básicos de acesso privilegiado e escalada de privilégio horizontal são conceitos importantes ao construir um aplicativo. Pessoalmente, eu apenas habilitaria o acesso a essas ferramentas após o treinamento apropriado ter sido concluído. Então é sobre implementar ferramentas de segurança para capturar os erros involuntários, o que volta às técnicas de DLP.

Como CTO da Skyhigh Security, qual área de mitigação de risco de IA – copilotos, desenvolvedores cidadãos ou infraestrutura de conformidade – você está priorizando para os próximos 12-18 meses?

A conscientização é vital e a Skyhigh já fornece ferramentas de descoberta de Shadow AI abrangentes. Microsoft Copilot e ChatGPT Enterprise são nosso foco principal em 2025. Já implantamos controles em ambos e estamos estendendo-os ainda mais ao longo do restante de 2025. À medida que entrarmos em 2026, estamos procurando voltar nossa atenção mais para o controle de prompt para garantir a segurança contra prompts maliciosos, jailbreaking e outros riscos de LLM importantes.

Qual é a quebra ou mudança que você prevê que poderia redefinir completamente a forma como pensamos sobre segurança empresarial em um mundo de IA?

IA Agente. Está apenas começando, mas o impacto é potencialmente enorme. À medida que mais e mais desses agentes se encadeiam, os vetores de ataque aumentam ao longo da cadeia. Muito do cibercrime é “detectado” por humanos porque algo não parece certo. Nessa cadeia de agentes, como detectar sinais de comprometimento será um desafio real.

Obrigado pela grande entrevista, leitores que desejam aprender mais devem visitar Skyhigh Security.

mm

Antoine é um líder visionário e sócio-fundador da Unite.AI, impulsionado por uma paixão inabalável em moldar e promover o futuro da IA e da robótica. Um empreendedor serial, ele acredita que a IA será tão disruptiva para a sociedade quanto a eletricidade, e é frequentemente pego falando sobre o potencial das tecnologias disruptivas e da AGI. Como um futurista, ele está dedicado a explorar como essas inovações moldarão nosso mundo. Além disso, ele é o fundador da Securities.io, uma plataforma focada em investir em tecnologias de ponta que estão redefinindo o futuro e remodelando setores inteiros.