Numa entrevista à businessIT durante o evento Re:Invent, em Las Vegas, Esteban Hernandez partilhou a visão da AWS no que diz respeito à cibersegurança e de que forma a inteligência artificial generativa poderá mudar as regras do jogo.
Qual é a estratégia da AWS relativamente à cibersegurança?
A segurança é uma prioridade e tem sido uma aposta desde o início. Na cloud, é uma responsabilidade partilhada e, por isso, tornamos isso muito claro para os nossos clientes. Somos responsáveis pelos controlos físicos, pelos equipamentos, pelo hipervisor e por tudo que está por baixo disso; os clientes são responsáveis pelas aplicações que programam em cima disso, assim como pelo controlo de acessos e encriptação, entre outras coisas. Foi assim que começámos e continuamos a evoluir, fornecendo mais opções aos clientes relativamente ao controlo da segurança, para poderem continuar a ser bem-sucedidos.
A AWS é, então, uma empresa com uma cultura de segurança. Como é que ajudam outras organizações a seguir este conceito?
Uma das formas é assumindo a parte mais pesada do trabalho para ter o conjunto certo de controlos, tornando-os fáceis de aplicar, para que as equipas se possam concentrar nos outros aspectos da segurança. Também temos um conjunto de melhores práticas e partilhamos muita informação com os clientes no nosso evento de segurança, o AWS re:Inforce. Tentamos partilhar a nossa forma de pensar sobre segurança e dar cursos directamente aos clientes, para poderem compreender que se trata de uma responsabilidade de todos na empresa, e não apenas da equipa de TI ou de segurança. Ter princípios fortes, uma visão clara e saber como escalar a segurança das aplicações faz uma grande diferença na sua postura de segurança.
Todos os dias ouvimos falar de novas ameaças e riscos. Como mantêm os vossos clientes a salvo dos ciberataques?
É um ambiente em constante evolução. Há ameaças diferentes, mas, em vez de os clientes se concentrarem directamente nesta realidade, devem-se concentrar em ter o conjunto certo de práticas fundacionais – isso muda muito o resultado. Analisamos as tendências e, em conjunto com as nossas competências, e o acesso a diversos sectores/empresas de diferentes dimensões, temos uma melhor visibilidade do que está a acontecer. O que fazemos é pegar nesse conhecimento e integrá-lo nos nossos serviços o disponibilizar a todos os clientes. Estamos a ajudá-los a aplicar as melhores práticas de segurança e a prepará-los para estas situações, podendo os clientes concentrar-se em fazer o patch dos seus sistemas e em ter uma base de segurança sólida. Assim, não importa tanto quais são as tendências, pois se tiverem uma boa fundação, vão ser capazes de responder rapidamente a um evento de segurança, porque estão preparados.
Consideram que o utilizador final continua a ser o elo mais fraco?
Sem dúvida, o elemento humano é o mais vulnerável, porque são os humanos que podem ter um dia mau. É por isso que é importante ter uma combinação de controlos de acesso fortes, certificando-se de que não existem credenciais de longo prazo disponíveis que possam acabar nas mãos erradas. Mas, se nos centrarmos no elemento humano, é necessário garantir que estes controlos estão no sítio certo – temos de continuar a trabalhar e a preparar-nos para estes acontecimentos. Sabemos que os ataques de phishing vão ser sempre diferentes – podemos sempre ajudar, ao falar sobre a cultura de segurança e dizer: «Se algo de mau aconteceu, não deve ficar calado. Deve procurar o seu chefe e falar sobre o assunto». Isto faz parte do processo de criação de uma cultura em que não há culpa. Se, por acaso, clicar em algo em que não devia ter clicado, posso informar a organização e a equipa de segurança, para serem tomadas medidas; se as pessoas ficarem em silêncio, o processo é mais difícil. Portanto, a contenção do problema é o primeiro passo e a preparação é fundamental para garantir que exista uma cultura de segurança.
Então, é importante dar formação aos utilizadores e sensibilizá-los para o tema da cibersegurança?
Absolutamente. A formação e a sensibilização para a segurança é algo que todas as empresas deveriam fazer, penso que faz uma enorme diferença. No ano passado, disponibilizámos a nossa própria formação de awareness em diferentes plataformas de gestão de conteúdos. Assim, qualquer pessoa, no mundo, pode ter acesso a essa formação e as empresas podem mesmo colocá-la nos seus próprios sistemas de aprendizagem.
Acham que a IA generativa está a tornar-nos mais seguros? Ou é o contrário e está a aumentar os riscos para as empresas?
A IA generativa, tal como todas as novas tecnologias inovadoras, tem muito potencial e abrange muitos casos de utilização excelentes para ajudar a fazer a diferença no mundo e nas empresas. Por vezes, também apresenta riscos na forma como é utilizada; as equipas de segurança têm de pensar para onde vão os dados e se vão ser expostos de uma forma diferente – isto está na mente de muitos dos CISO e das empresas de segurança. Mas tenho uma abordagem um pouco mais optimista, porque penso que vai permitir que o elemento humano, (ou seja, os engenheiros de segurança, que são escassos) seja mais eficiente no seu trabalho do dia-a-dia. Por exemplo, lançámos uma funcionalidade para o AWS Detective chamada ‘group finding’, um serviço que permite investigar a informação e recolher automaticamente os dados. Assim, além de haver informação altamente detalhada e representada num gráfico, agora também temos insights que podem ser usados pela IA generativa para criar uma espécie de narrativa do que foi detectado e quais são os padrões, de uma forma mais legível, para o ser humano. Os analistas de segurança podem tirar potenciais conclusões e reduzir o tempo médio para a resolução ou para a identificação de um evento de segurança e, depois, tomar medidas.
E no caso dos cibercriminosos? A inteligência artificial generativa também os está a ajudar a serem mais criativos e eficazes…
Qualquer tecnologia que tenha este potencial de inovação pode ser utilizada de forma errada. No entanto, voltando às boas práticas e bases de segurança, se estiverem bem definidas, mesmo que se criem ferramentas e os actores se tornem mais eficientes, não têm muitas formas de abordagem, porque existe um ambiente muito bem contido. A verdade é que, no fim, muitos destes agentes ou actores tendem a procurar o caminho mais fácil, que será sempre um elemento importante.
Falou anteriormente sobre a falta de talentos no sector. Como é que vê esta ausência de competências e como é que o AWS tenta gerir essa situação?
A falta de competências em cibersegurança é algo que tem sido um problema de longo prazo, no sector. Uma das formas de mitigar isso é ter mais formação sobre segurança na cloud, ter as melhores práticas e ter mais fóruns onde falar sobre isso. Mas também acho que se devem abrir oportunidades a outras fontes de talento e sermos mais inclusivos/diversificados, ou seja, nem sempre é necessário ter uma licenciatura em engenharia para trabalhar na área da segurança.
Estamos à procura de perspectivas diferentes e ter essa diversidade ajuda muito, porque ao haver pessoas com diferentes backgrounds resulta na resolução dos problemas de uma forma diferente. Vemos cada vez mais pessoas que vêm de carreiras diferentes, nem sempre ligadas à tecnologia, mas à área jurídica e até às artes. O que partilham entre si é o facto de terem um olhar atento para descobrir o que pode correr mal; assim, podemos começar a desenvolver esses aspectos para saber o que fazer para evitar essas situações.
A segurança também tem sido tradicionalmente associada a mensagens muito negativas e de que há muito stress – isto é algo que temos de mudar, enquanto indústria. Temos de ter uma perspectiva mais positiva, porque, no fim de contas, sabemos que o que estamos a fazer é gerir riscos. Sejamos francos: as coisas más podem acontecer e a rapidez com que reagimos e estivermos preparados, vai ajudar-nos a conter o problema. Não estamos a tentar impedir que aconteça coisas más, o queremos é contê-las e recuperar rapidamente, se algo acontecer.
Quais são os próximos passos de evolução das soluções de cibersegurança da AWS?
É esperar que haja uma maior integração da IA generativa nos serviços de segurança, fazendo uma melhor utilização da informação. Há muitos aspectos em que podemos ajudar a fazer previsões, ter um humano a fazer supervisão e dizer quando aplicar as sugestões feitas. Veremos também outro tipo de funcionalidades fora da inteligência artificial: o conceito de ‘problem security’, em que acreditamos fortemente, é a aplicação de lógica formal, uma espécie de modelo matemático, para os casos em que é menos necessário ter uma previsão e mais de uma prova de que algo aconteceu ou não aconteceu. Integrámos isso nos serviços de gestão, um dos quais é o IAM Access Analyzer, em que utilizamos uma combinação dessa abordagem com IA generativa para garantir que, por exemplo, quem não tiver sido acedido ou utilizado um acesso nos últimos trinta a sessenta dias, pode ser removido em segurança de uma política. Ter esta visibilidade é uma ferramenta muito poderosa, porque se utilizarmos apenas previsões na criação de políticas, podemos ter uma fase de alucinação, em que uma previsão pode não estar a dar os resultados pretendidos. Por isso, é necessário combinar este tipo de situações e é o que estamos a fazer.
Que tendências prevêem para o próximo ano no domínio da cibersegurança?
É difícil afastarmo-nos da IA generativa: é certo que haverá muito mais funcionalidades e a expansão das possibilidades do lado humano. Mas também vejo uma espécie de tendência para a segurança e para as organizações serem mais críticas relativamente ao destino dos seus dados. Por isso, vão começar a formar as suas políticas sobre IA generativa, já que é muito diferente ter o controlo sobre a informação e esta não estar a ser usada para treinar os modelos; isto acontece em oposição à utilização de shadow AI [uso dos dados em aplicações que não estão a ser controladas pela equipa de TI ou segurança], em que não há qualquer controlo sobre os dados ou para onde estes vão. Outras das tendências é um maior foco numa cultura de segurança, porque não importa o quanto nos preparamos, se não tivermos toda a gente a bordo e a pensar em como denunciar os incidentes e em como ser mais parte da solução. Assim, continuaremos a assistir a estes casos em que o elemento humano é explorado para obter acesso e, a partir daí, a situação começa a crescer.