Connect with us

Jack Cherkas, Global CISO la Syntax – Seria de interviuri

Interviuri

Jack Cherkas, Global CISO la Syntax – Seria de interviuri

mm
Published

Jack Cherkas, Global CISO la Syntax, este un expert în securitate cibernetică cu o experiență profundă în domeniul securității cloud, rezilienței cibernetice, arhitecturii enterprise și securității AI. El a deținut funcții de conducere la Syntax, PwC UK, Kyndryl și IBM, unde a ajutat la construirea și scalarea operațiunilor de securitate, a gestionat eforturile de răspuns la incidente majore și a dezvoltat strategii de reziliență cibernetică pentru medii enterprise de mari dimensiuni. La Syntax, el conduce securitatea cibernetică globală a companiei, supraveghind o echipă de peste 65 de profesioniști în securitate din opt țări.

Syntax este un furnizor global de servicii IT și servicii de cloud gestionate, specializat în aplicații enterprise de misiune critică, în special medii SAP și Oracle. Compania sprijină organizațiile în procesul de migrare către cloud, găzduire gestionată, securitate cibernetică, gestionare a aplicațiilor enterprise și operațiuni activate de AI, pe infrastructuri hibride și multi-cloud. Activitatea sa se concentrează pe ajutarea întreprinderilor să modernizeze, să securizeze și să opereze sisteme de afaceri complexe la scară largă.

Ați condus inițiative de securitate cibernetică la IBM, Kyndryl, PwC și acum la Syntax. Cum s-a schimbat perspectiva dvs. asupra securității tehnologiilor emergente, cum ar fi AI, pe măsură ce organizațiile trec de la experimentare la producție?

Cariera mea a urmat o serie de perturbări, fiecare cerând ca securitatea să țină pasul cu o nouă suprafață de control. La IBM, în primele zile ale cloud-ului, întrebarea era dacă putem încredința infrastructurii cuiva altcuiva pentru a rula sarcini de lucru critice. Răspunsul a fost un model de responsabilitate partajată și o generație de controale native cloud.

Apoi a venit era ransomware-ului. NotPetya, în 2017, a oprit companii în câteva ore, iar industria a învățat că malware-ul cu vierme poate lua sistemele de aprovizionare globale peste noapte. Răspunsul a fost pregătirea pentru momentul în care (și nu dacă) va apărea un atac cibernetic, segmentarea rețelei, backup-urile imutabile și o împingere serioasă a identității.

Pe parcursul timpului meu la Kyndryl și PwC, SaaS a trecut de la margine la centru în fiecare domeniu. Încărcările de muncă s-au mutat din centrele de date și pe stiva cuiva altcuiva, identitatea a devenit perimetrul, iar Zero Trust a încetat să mai fie un desen și a devenit un model de operare.

Același lucru se întâmplă și acum la Syntax, unde suntem în valul GenAI, unde sistemul însuși raționează, generează și acționează. Fiecare val ne-a oferit o nouă suprafață de control, nu suficient timp de avertizare și o fereastră mai scurtă între experiment și producție. Cloud-ul a durat ani. SaaS a durat trimestre. GenAI durează săptămâni. CISO-ii care țin pasul sunt cei care au încetat să trateze fiecare val ca pe o excepție și au început să trateze adoptarea rapidă ca o stare stabilă.

Cum evaluați riscul ca, pe măsură ce organizațiile accelerează adoptarea AI, încrederea, și nu doar conformitatea, să fie compromisă? Care sunt primele semne că acest lucru începe să se întâmple?

Încrederea este fundamentul oricărei bune adoptări a AI. Primele semne nu se află în raportul de audit, ci în semnalele operaționale. Implementări de AI în umbră, pe care nimeni nu le deține. Aprobarea de procurare a furnizorilor de GenAI fără revizuirea securității. Linia de proveniență a datelor care se întrerupe în momentul în care întrebați de unde provin datele de antrenament. Agenta AI care primesc permisiuni de administrator pentru că nimeni nu a vrut să încetinească proiectul. Când vedeți aceste patru semne într-o organizație, încrederea este deja cheltuită mai repede decât este câștigată. Liderii sunt de obicei ultimii care află.

Multe companii adoptă AI mai repede decât pot să o securizeze. Care sunt cele mai comune riscuri din lumea reală pe care le vedeți astăzi, atunci când guvernanța rămâne în urmă inovației?

Când guvernanța rămâne în urmă, se întâmplă trei lucruri, și niciunul dintre ele nu apare ca incidente de securitate până mult mai târziu. În primul rând, expunerea la reglementări se acumulează în tăcere: o implementare AI care încalcă cerințele de transparență ale Actului AI al UE nu declanșează o alarmă; apare într-un audit după doi ani, sub forma unei amenzi. În al doilea rând, încrederea clienților se erodează în tranzacții pe care nu le vedeți: potențialii clienți aleg concurenți care pot dovedi guvernanță, iar echipa dvs. de vânzări nu află niciodată de ce. În al treilea rând, calitatea deciziilor se deteriorează: organizația ia mai multe decizii influențate de AI, dar nu poate explica sau audita aceste decizii, iar deciziile proaste se acumulează în locuri în care nimeni nu caută. Costul guvernanței slabe a AI este erodarea lentă a auditului, vânzărilor și calității deciziilor, care se încheie cu o încălcare a reputației.

În calitate de expert care a lucrat la strategii de reziliență cibernetică și răspuns la incidente pe scară largă, cum credeți că introducerea AI schimbă natura amenințărilor cibernetice și modul în care organizațiile ar trebui să se pregătească pentru acestea?

AI accelerează amenințările de-a lungul diferitelor vectori. Scara: phishing și recunoaștere la viteza mașinii împotriva a mii de ținte simultan. Sophisticația: inginerie socială bazată pe deepfake care învinge verificarea vocală și video. Identitatea: identități sintetice care trec testele de identitate proiectate pentru oameni.

Pentru răspunsul la incidente, implicațiile sunt operaționale. Aveți nevoie de detectare care nu se bazează pe recunoașterea de către oameni a modelelor la viteza omului. Aveți nevoie de protocoale de verificare care presupun că vocea și video-ul pot fi falsificate. Și aveți nevoie de cărți de joc pentru răspunsul la incidente care acoperă în mod explicit incidentele legate de AI, deoarece pașii de recuperare nu sunt aceiași ca și în cazul unui eveniment de ransomware.

La Syntax, cum arată “securitatea prin design” pentru AI într-un mediu enterprise complex și real?

La Syntax, acest lucru înseamnă echilibrarea inovației și securității prin adoptarea platformei noastre GenAI, cu bariera de siguranță încorporată, a serviciilor și aplicațiilor noastre GenAI aprobate, restricționate și interzise, și prin promovarea unei culturi de securitate prin biroul nostru de guvernanță AI. Pentru organizația noastră de securitate globală, acest lucru înseamnă poziționarea ca un facilitator pentru afaceri, și nu ca un blocator, sprijinind afacerile cu prioritățile lor strategice, în timp ce protejăm Syntax în conformitate cu apetitul nostru pentru risc.

Există o narativă în creștere conform căreia securitatea și conformitatea nu mai sunt blocaje, ci facilitatori ai creșterii. Ce trebuie să se schimbe cultural și operațional pentru ca organizațiile să adopte cu adevărat această mentalitate?

Cea mai mare schimbare este ceea ce înseamnă succesul. Echipele de securitate au fost măsurate timp de decenii după ceea ce nu s-a întâmplat: nu au fost încălcate, nu au existat incidente, nu au existat constatări de audit. Această metrică răsplătește spunerea nu. Echipele care operează ca facilitatori măsoară ceva diferit: tranzacții câștigate pentru că controalele au fost demonstrabile, lansări care au atins data lor de lansare pentru că securitatea a deschis calea, și inovații care au trecut prin guvernanță, mai degrabă decât în jurul ei.

Operațional, aceasta necesită procese redefinite cu guvernanță încorporată, împerecheate cu facilitarea activă, cum ar fi platforma noastră GenAI, care face securitatea drumul mai ușor, și programe de educație și programe GenAI accesibile, cum ar fi inițiativa noastră AI Champions.

Cultura urmează ceea ce incentivizați și ceea ce facilitați. Schimbați ceea ce răsplătiți, echipați oamenii cu uneltele și pregătirea potrivită la momentul potrivit, și veți schimba ceea ce fac ei. Acesta este drumul pe care Syntax îl urmează.

Cum ar trebui să colaboreze CISO-ii cu liderii AI, oamenii de știință și echipele de produse pentru a asigura responsabilitatea fără a încetini progresul?

CISO care așteaptă să fie invitat va fi întârziat. CISO care vine devreme, cu modele practice, mai degrabă decât obiecții de politică, devine partenerul pe care proiectele AI îl doresc cu adevărat la masă. În practică, acest lucru înseamnă ședințe de proiectare comune cu echipele AI, aprobări de securitate care stau lângă cele funcționale, mai degrabă decât după ele, și o politică de ușă deschisă. Acest lucru schimbă conversația de la “Departamentul Nu” la “Da, dar” sau “Nu, dar” ca un partener dispus și colaborativ pentru afaceri.

Când ne uităm în perspectivă, credeți că vom vedea un cadru global standardizat pentru guvernanța AI, sau organizațiile vor trebui să-și construiască propriile arhitecturi interne de încredere, indiferent de reglementări?

Ambele, în această ordine. Vom vedea o convergență treptată către un număr mic de cadre regionale, Actul AI al UE primul, urmat de altele cu variații locale. Nu vom vedea un standard global unic în acest deceniu, din cauza fragmentării geopolitice. Prin urmare, organizațiile vor face două lucruri în paralel: vor respecta cadrul care se aplică pieței lor principale și vor opera o arhitectură internă de încredere care depășește cadrul cel mai slab. Arhitectura internă contează mai mult decât standardul extern, deoarece reglementatorii se mișcă încet, iar amenințările nu. Companiile care construiesc arhitecturi interne de încredere acum vor petrece următorul deceniu spunând “deja facem asta” pentru fiecare nou reglementator care sosește.

Mulțumim pentru acest interviu minunat, cititorii care doresc să afle mai multe pot vizita Syntax.

mm

Antoine este un lider vizionar și partener fondator al Unite.AI, condus de o pasiune neclintita pentru a da forma și a promova viitorul inteligenței artificiale și al roboticii. Un antreprenor serial, el crede că inteligența artificială va fi la fel de disruptivă pentru societate ca și electricitatea, și este adesea prins vorbind cu entuziasm despre potențialul tehnologiilor disruptive și al inteligenței artificiale generale.

Ca futurist, el este dedicat explorării modului în care aceste inovații vor modela lumea noastră. În plus, el este fondatorul Securities.io, o platformă axată pe investiții în tehnologii de ultimă generație care redefinesc viitorul și reshapă întregi sectoare.