Clarke Rodgers (00:08):
Muito obrigado pela sua participação.

Aman Sirohi (00:10):
Imagina, eu que agradeço. É uma ocasião especial.

Clarke Rodgers (00:11):
Por gentileza, fale-me um pouco sobre sua formação e o que você faz na People.ai.

Aman Sirohi (00:16):
Com certeza. Somos uma empresa de inteligência de receita. Ajudamos os líderes de vendas a tomar decisões com maior rapidez usando dados. Portanto, a segurança é uma prioridade para todos nós, pois ingerimos os seus dados e fornecemos dados para que você possa tomar essas decisões analíticas.

Clarke Rodgers (00:30):
Quando converso com CISOs, vários deles, falamos sobre o tipo de evolução do cargo de CISO com o passar do tempo. E, por muito tempo, o cargo de CISO foi visto como “Sou um especialista técnico em segurança”, chamado somente caso precisasse apagar incêndios se algo ruim fosse acontecer dentro da organização. Hoje, porém, a maioria dos CISOs de sucesso que vemos no mercado são líderes empresariais em primeiro lugar e talvez profissionais de segurança em segundo lugar. Você pode falar um pouco sobre como viu esse cargo evoluir e talvez ilustrar com suas próprias experiências?

Aman Sirohi (01:05):
Claro, com certeza. Acho que, se voltarmos cinco ou dez anos, os CISOs estavam realmente no lugar em que deveriam estar. Nosso trabalho era proteger a empresa. Somos especialistas em segurança, estamos em segundo plano, nos bastidores, e se você analisar hoje e no futuro, a segurança é muito importante na mente de todos, em todos os setores. A segurança precisa realmente vir em primeiro plano. Por isso, sempre usei a frase na empresa: “Traga a segurança para frente. Não jogue na defesa. Fale com o cliente sobre segurança. Diga a ele o quanto ela é importante para a empresa.” Porque, assim, o cliente que olha para você pensa: “Ah, você sabe do que está falando”. Ele se sente mais seguro só de falar com você, porque você está sendo proativo.

Clarke Rodgers (01:43):
Conquistando a confiança.

Aman Sirohi (01:43):
Sim, você constrói essa confiança, e eu diria que essa construção ocorre em camadas. Quando você se dirige ao comitê executivo, é sempre sobre o que eles ouviram. Você sempre acaba se lembrando dos membros da diretoria, o pessoal da alta liderança. Eles são amigos e dizem: “Você ouviu falar sobre aquele golpe? Ficou sabendo disso?”

O que eu faço é falar sobre segurança em geral. O que está acontecendo no nosso espaço? Independentemente de sermos afetados ou não, é sempre bom trazer isso à tona nessas reuniões, porque, no fundo, eles pensam: “Ah, meu amigo me contou sobre esse golpe e foi isso que aconteceu no nosso ambiente, mas é por isso que não fomos afetados”

É mais uma questão de contar uma história, instruir, ser mais relativo e conectar-se com os pensamentos e as ideias uns dos outros, e acho que é aí que a segurança se torna mais poderosa.

Clarke Rodgers (02:29):
Interessante. Ao ter essas conversas em nível de diretoria e contar essas histórias, você está falando sobre “Tivemos uma quantidade X de vulnerabilidades e conseguimos corrigi-las nesse período de tempo”, ou está falando em termos dos riscos em relação aos lucros e perdas da empresa?

Aman Sirohi (02:45):
Se você analisar, cada diretoria (e eu tive a sorte de estar em algumas empresas diferentes) é um pouco diferente. Alguns preferem receber instruções. Outros são basicamente inteligentes e experientes o suficiente. Eles podem não ser profissionais de segurança, mas estão muito bem informados sobre o espaço. Minha maneira de trabalhar é começar com: “O que estamos fazendo no setor? O que nosso setor está fazendo? O que a segurança significa para eles?” Em seguida, entro de fato nos valores ou recursos comerciais que estão vinculados aos nossos resultados financeiros.

Vou dizer que você sempre precisa ter os dados para respaldar sua própria postura de segurança. Pode haver um pico, por exemplo, as tentativas de phishing aumentaram dez vezes no mês passado. Você não pode entrar em uma reunião da diretoria, ouvir “Como foram nossas campanhas de phishing?” e responder “Depois eu falo com você sobre isso”. É uma resposta ruim.

Você precisa estar preparado com os dados. Você poderia até dizer “O slide 54 mostra nossa posição atual em comparação com o último xyz...”. No final das contas, sempre acho que, se os membros da diretoria perguntarem, é uma boa facilitar a resposta para eles.

Clarke Rodgers (03:42):
Com certeza.

Aman Sirohi (03:42):
Facilite as coisas. Faça com que eles assimilem as informações com mais facilidade. Isso torna o trabalho mais simples, e todos acabam seguindo o mesmo caminho.

Clarke Rodgers (03:49):
Facilitar as coisas para a diretoria é uma coisa, mas, voltando para a empresa, também é uma boa facilitar o trabalho das equipes de produto e desenvolvimento, permitindo que elas façam as coisas de maneira certa e com segurança. Você pode falar um pouco sobre talvez alguns dos mecanismos que planejou para possibilitar isso?

Aman Sirohi (04:07):
Vou dizer algo, talvez seja até simples demais: o segredo é conversar. É quando você realmente tem uma conversa, se comunica e se reúne com o CTO, o engenheiro-chefe ou o arquiteto-chefe e fala sobre adiantar processos. Já estive em organizações em que falei: “Preciso resolver essa vulnerabilidade e preciso que você mude seu sprint.” A maioria dos desenvolvedores de produtos diz: “Preciso implementar esse recurso”. O recurso traz lucros, e eles são movidos por impulsos para lançar recursos.

Se você realmente tem uma conversa com eles e diz: “Olha, precisamos desacelerar um pouco. Talvez não neste sprint, mas no próximo, e precisamos aplicar essas medidas de segurança para garantir que estamos lançando um código seguro.” De acordo com o modelo SSDF do NIST, se você for até qualquer cliente e disser “cliente X, você pode me dar mais uma semana para eu poder produzir um software seguro?”, ele sempre dirá que sim. Não tem cliente que não vá fazer isso, certo? Sempre recorro aos princípios de ser realmente aberto e comunicativo.

Somos frequentemente chamados de vigilantes e controladores: a polícia. Mas não somos isso. Não é o que fazemos. E, se você seguir um caminho diferente, é como: “OK, não vai ser neste sprint, vai ser no próximo. Parece bom.” Talvez eles precisem da aprovação do diretor de produtos para garantir que todos estejam de acordo com isso, mas, pelo menos, agora você está construindo uma comunidade e criando uma razão pela qual estamos fazendo isso, em vez de simplesmente dizer: “Ah, a segurança está nos forçando a fazer algo”.

Clarke Rodgers (05:23):
Fantástico! Como CISO, sua responsabilidade é proteger a organização e implementar todos os diferentes programas e mecanismos de segurança para trazer o máximo de segurança possível para os negócios. Mas, você também tem a responsabilidade de possibilitar que a empresa inove, certo? Como equilibrar os dois?

Aman Sirohi (05:43):
É bem delicado. Sendo uma startup, velocidade é tudo, escalabilidade também. As demandas do cliente também são... você tem um produto, tem capacidade, e o cliente X quer isto, o cliente Y quer aquilo, não é? Então, voltamos ao roteiro do produto. Como CISO, ou qualquer tipo de cargo de segurança, você realmente precisa se sentar à mesa e falar sobre o roteiro do produto.

É quando você tem o pessoal da alta liderança em uma reunião e fala sobre como será o próximo trimestre, como será o próximo ano e como fazer parte dessas conversas. Acho que é nesse ponto que você realmente possibilita essa inovação e, se eu recuar mais um passo, como CISO, você pode aprender algo que precisa mudar no lado da segurança, porque algumas inovações de produtos estão chegando e você precisa facilitar as coisas para eles, certo? Então, é claro que alguém diz: “Ah, MFA”. Eu digo: “Não. Isso não é negociável.” Isso todos precisam ter isso. Isso vai acontecer, não é? Porém, como profissionais de segurança, temos como facilitar as coisas para os desenvolvedores, para que eles também não precisem passar por apertos no trabalho.

Clarke Rodgers (06:48):
Muito legal. Muitos CISOs têm, não desafios, mas sim uma equipe de segurança limitada na organização e estão sempre tentando encontrar maneiras de melhorar o desempenho e aumentar a influência da equipe de segurança sobre as partes da organização que não estão relacionadas à segurança. Ou seja, talvez desenvolvedores, equipes de serviços, departamentos de contabilidade, finanças ou RH, seja qual for o caso. O que você pensa sobre isso e como posiciona a cultura de segurança na sua organização para realmente garantir que ela seja responsabilidade de todos?

Aman Sirohi (07:27):
É difícil. Não é nada fácil, pois o pessoal de marketing quer algo diferente. E o departamento de finanças quer algo diferente. O pessoal de vendas que está viajando em diferentes países e estados quer facilidade nos negócios.

Especialmente na conjuntura econômica de hoje, temos menos pessoal e temos menos financiamento ou menos capital, mas nossa responsabilidade não mudou. Se nossa responsabilidade não mudou, temos basicamente que encontrar maneiras criativas de fazer isso acontecer. Uma das maneiras que, na minha opinião, foi realmente significativa na minha empresa anterior e nesta empresa é, quando os membros da sua equipe têm reunião com um grupo de colegas ou organizações para falar sobre segurança, mais uma vez, recorrendo à educação e à comunicação: eu não vou. Não vou porque não quero que seja algo do tipo: “Ah, o CSO está aqui”, ou...

Clarke Rodgers (08:16):
Interessante.

Aman Sirohi (08:16):
“A liderança está aqui e temos que ouvir a liderança.” Deixo o pessoal da nossa equipe se comunicar, construir e promover esses relacionamentos. Porque assim eles pode ter conversas de igual para igual com seus colegas de trabalho. Quando você começa a implementar essa postura em toda a empresa, as coisas ficam mais fáceis, pois você fez a lição de casa, fez sua devida diligência.

Clarke Rodgers (08:37):
Você cultivou aliados.

Aman Sirohi (08:38):
Sim, você cultivou aliados, mas sem estar lá. Porque, como líder de segurança, ou se o líder estiver presente, o tom e a conversa são totalmente diferentes, o jogo é completamente outro. “Meu chefe está aqui, então temos que conversar sobre isso. Tenho que ouvir.” Mas acho que é necessário capacitar os outros a fazer a mesma coisa. E, é muito difícil, mas acho que é preciso criar esse ecossistema, fazer com que os membros da sua equipe sejam capazes de levar esse bastão e ser um profissional de segurança para todos.

Clarke Rodgers (09:08):
Fantástico! Que tipo de habilidades, características ou experiências você procura ao contratar alguém para trabalhar na sua equipe de segurança propriamente dita?

Aman Sirohi (09:20):
A característica número um é a curiosidade: não tem como eu te ensinar a ser curioso.

Clarke Rodgers (09:25):
Interessante.

Aman Sirohi (09:25):
Posso ensinar segurança. Posso te dar os treinamentos X, Y, Z. Posso te dar currículos universitários, mas não posso te ensinar a ser curioso. E a segurança, como todos nós concordamos, não é igual todos os dias. Ela é diferente hoje, no dia seguinte e por aí vai. Quando você tem uma mente curiosa, é capaz de se adaptar a diferentes respostas. Um dia, você recebe uma vulnerabilidade que diz X. Amanhã, a mesma vulnerabilidade não será X, será Y. E, se você é curioso o suficiente e diz “OK, vou entrar nos detalhes e clicar neste botão” e é capaz de fazer isso, para mim, esse é o motivo número um.

Costumo fazer um teste muito interessante ao contratar pessoas. Eu apresento a elas três palavras (faminto, humilde e inteligente) e peço que elas se classifiquem com base nelas: se são famintas, humildes ou inteligentes em primeiro lugar. E é sempre importante para mim entender que tipo de dinâmica você traz para a mesa. Porque, se eu tivesse uma equipe inteira de pessoas inteligentes (todos nós já passamos por isso, todas as pessoas inteligentes reunidas em uma sala), nada seria feito, pois todos se acham mais inteligentes do que os demais, certo? E, se tivéssemos apenas pessoas humildes, sem ofensa, mas a segurança seria prejudicada, pois pensaríamos “Ah, tudo bem. Hoje não? Então vamos fazer isso amanhã. Amanhã não? Então mais tarde." E, com apenas pessoas famintas, se a característica número um de todos fosse “Sou faminto em primeiro lugar”, não teria como promover todo mundo o tempo todo.

Por isso, durante as entrevistas, começo sempre dizendo: "Muito bem, pessoal, mostrem-me quem vocês são: famintos, humildes ou inteligentes. O que vocês achavam que os outros eram?” É preciso criar a equação certa de uma equipe, ter certeza de que ela está bem equilibrada, e, dependendo do seu ecossistema (seja finanças, varejo, SaaS ou criptografia), talvez você precise que certos atributos tenham mais destaque. Por outro lado, em determinados setores, talvez você precise que certos atributos tenham um pouco menos de destaque. É assim que eu encaro a formação ou a contratação de uma equipe dentro da minha organização de segurança.

Clarke Rodgers (11:18):
Parece que a diversidade da equipe é o elemento-chave aqui?

Aman Sirohi (11:23):
É, com certeza. Tenho um membro da minha equipe no Canadá. Tenho outro na Costa Leste. Tenho mais um em outro continente. Se eu gostaria que todos estivessem em São Francisco ou até mesmo no mesmo escritório? Sim, mas, como você sabe, isso não é viável. Acho que a COVID nos ensinou tudo isso e, na minha opinião, todo esse nível de diversidade, experiência e curiosidade surge apenas quando você encontra pessoas com ideias diferentes.

Clarke Rodgers (11:45):
É incrível ouvir isso. As ferramentas de IA generativa têm estado em todos os noticiários ultimamente. Qual é a sua opinião sobre isso do ponto de vista da segurança, à medida que mais e mais pessoas (e presumo que empresas) estão aproveitando algumas dessas ferramentas?

Aman Sirohi (12:04):
Acho que ela será uma inovação para a qual não estamos preparados. Haverá muita inovação, e precisaremos de muita segurança devido à velocidade com que essas ferramentas estão sendo lançadas e inovadas.

Estamos tentando crescer em grande escala, com ferramentas de código aberto e além: a lista não para. Acho que vamos nos deparar muito rapidamente com os riscos da IA. Qual é a exposição aos riscos para a empresa e os clientes?

Todos os contratos que conheço mencionam que dados de terceiros não podem deixar o ambiente e ser transferidos para outro lugar. Seja qual for o modelo de IA que você queira usar, esses dados agora estão saindo do seu ambiente, passando para terceiros, retornando e gerando determinadas respostas. Portanto, acho que haverá muitas mudanças na forma como o setor jurídico encara a questão, como os riscos são assumidos pelo cliente e pela empresa. Acho que haverá muita inovação no espaço.

Clarke Rodgers (13:08):
Você se preocupa com o risco do “fator caixa preta” desses serviços ou algum risco mais específico?

Aman Sirohi (13:17):
Eu diria as duas coisas. Quero dizer, acho que eles são uma caixa preta, pois não sabemos o que não sabemos, certo?

Clarke Rodgers (13:22):
Com certeza.

Aman Sirohi (13:23):
Uma coisa interessante com a qual você e eu provavelmente concordamos é que, depois de ensinar algo para a IA, não tem como voltar atrás e dizer “excluir”, não é mesmo? É muito caro voltar atrás e tirar isso do modelo. Portanto, esse é um assunto delicado com o qual você vai ter que lidar, pois vai receber informações erradas e isso vai estragar a equação. E você vai ter que encontrar uma solução para isso.

Acho que os riscos surgirão em termos das áreas em que as empresas ficarão preocupadas com os dados que estão fornecendo para essa ferramenta de IA. Essa ferramenta de IA é pública? Todos nós vamos ter IA internamente em nossos lares? Acho que tudo precisa ser resolvido.

As coisas vão acontecer em uma velocidade para a qual não estamos preparados. E quais são os riscos disso do ponto de vista da empresa? Uma coisa que posso dizer é que, em termos de regulamentação, não tenho a menor ideia. Isso vai ser... nem sei como as regulamentações vão se adaptar a isso, porque é preciso encontrar uma maneira de colocar algumas barreiras de proteção. Caso contrário, será um vale-tudo para todos.

Clarke Rodgers (14:27):
Então, basicamente, a liderança precisa entender os riscos que assumirá se concordar em usar essas ferramentas como parte dos negócios.

Aman Sirohi (14:35):
Sim, e como controlar alguém em um departamento diferente que baixa uma dessas ferramentas e começa a alimentá-la com informações? Para onde vão essas informações? Existe alguma ferramenta hoje que alerte você ou eu, dizendo que fulano forneceu essas informações para esse modelo de IA e que isso viola a política?

Clarke Rodgers (14:55):
Bem, talvez haja uma oportunidade de segurança aqui, não é?

Aman Sirohi (14:58):
Sim, realmente acho que haverá várias oportunidades de segurança diferentes. Acho que também vai ser ótimo para o ambiente.

Clarke Rodgers (15:05):
Seguindo essa mesma linha de pensamento, se tivéssemos essa conversa daqui a cinco anos, sobre o que estaríamos falando?

Aman Sirohi (15:13):
Acho que falaremos sobre como todo o nosso trabalho árduo e mundano será, na verdade, feito por nós. Li recentemente um artigo em que alguém acessou uma dessas ferramentas e disse: “Estou planejando uma viagem para uma região vinícola. Precisa ser adequada para crianças. Precisa ter este orçamento, mais X, Y e Z”. A ferramenta fez todas as tarefas, encontrou um lugar com jogo de bochaa, enviou um e-mail, fez as reservas e marcou no calendário.

Antes, alguém ligava para diferentes vinícolas, pesquisava vinícolas diferentes no Google ou usava algum tipo de mecanismo de busca para descobrir algo. Mas agora, isso tudo vai ser feito por nós. Portanto, acho que vai ser muito interessante ver qual será o nosso foco daqui a cinco anos. Na minha opinião, serão os humanos a interpretar estes dados e, por isso, eles não são apenas automatizados e gratuitos para todos. Acho que teremos que ter alguma interação humana em cada etapa crítica para garantir que as coisas não sigam para o caminho errado.

Clarke Rodgers (16:19):
E como você vai ter essa conversa com a diretoria? Como você acha que isso vai ser?

Aman Sirohi (16:24):
Já começamos a ter conversas internamente. Temos políticas. Temos princípios. Não vai ser fácil. Vai levar algum tempo. Sendo bem sincero, não tenho uma boa resposta para isso, mas acho que é exatamente sobre isso que deveríamos ter mais conversas. Deveríamos pensar como CISOs, que diriam… “Como vocês estão lidando com isso? Como você vão regulamentar isso?” Porque, acho que, quanto mais falarmos sobre isso, mais fácil será protegermos uns aos outros e mantermos os adversários afastados, já que eles também vão usar essas ferramentas.

Clarke Rodgers (16:57):
É uma oportunidade para todos.

Aman Sirohi (16:58):
Sim, com certeza.

Clarke Rodgers (17:00):
Então, para finalizar, você teria algum conselho para seus colegas CISOs?

Aman Sirohi (17:03):
Eu adoraria o conselho deles. Diria que a única coisa que aprendi, e que também aprendi com meu grupo de colegas, é que devemos nos aproximar dos seus negócios. Você precisa conversar com o CFO, o CRO, o diretor de produtos e o diretor de estratégias. Você precisa estar mais perto deles, pois é isso que vai te ajudar a perceber o que está mudando os resultados financeiros e o que está protegendo a empresa.

Se você puder fazer parte dessas conversas e fazer com que seus recursos os ajudem a atingir suas metas, mais clientes você conquistará. Quando você volta e pede financiamento, as pessoas entendem por que você está fazendo isso. Portanto, acho que meu conselho seria aproximar-se desse grupo de pessoas e entender seus negócios e o que os motiva. Isso facilitará o caminho para um CISO.

Clarke Rodgers (17:55):
Parece um ótimo conselho para mim.

Aman Sirohi (17:57):
Eu continuo tentando. Não sei. Tem dias que eu consigo, outros não, então veremos.

Clarke Rodgers (18:03):
Impressionante! Bem, Aman, muito obrigado pela participação hoje.

Aman Sirohi (18:05):
Ah, eu que agradeço. Muito obrigado.