Joe Regensburger é atualmente vice-presidente de pesquisa da Immuta. Líder em segurança de dados, a Immuta permite que as organizações liberem valor de seus dados na nuvem, protegendo-os e fornecendo acesso seguro.
O Immuta foi projetado para se integrar perfeitamente ao seu ambiente de nuvem, fornecendo integrações nativas com os principais fornecedores de nuvem. Seguindo a estrutura de segurança cibernética do NIST, a Immuta cobre a maioria das necessidades de segurança de dados da maioria das organizações.
Sua formação educacional é em física e matemática aplicada. Como você acabou trabalhando em ciência e análise de dados?
Minha área de trabalho de pós-graduação foi Física Experimental de Altas Energias. A análise de dados neste campo requer uma grande análise estatística, particularmente separando assinaturas de eventos raros daquelas de eventos de fundo mais frequentes. Essas habilidades são muito semelhantes às exigidas na ciência de dados.
Você poderia descrever o que envolve sua função atual como vice-presidente de pesquisa da líder em segurança de dados Immuta?
Na Immuta, estamos focados na segurança de dados. Isto significa que precisamos de compreender como os dados estão a ser utilizados, como podem ser utilizados indevidamente e de fornecer aos profissionais de dados as ferramentas necessárias para apoiar a sua missão, evitando ao mesmo tempo a utilização indevida. Portanto, nosso papel envolve compreender as demandas e os desafios dos profissionais de dados, principalmente no que diz respeito a regulamentações e segurança, e ajudar a resolver esses desafios. Queremos diminuir as exigências regulamentares e permitir que os profissionais de dados se concentrem na sua missão principal. Meu papel é ajudar a desenvolver soluções que diminuam esses encargos. Isso inclui o desenvolvimento de ferramentas para descobrir dados confidenciais, métodos para automatizar a classificação de dados, detectar como os dados estão sendo usados e criar processos que apliquem políticas de dados para garantir que os dados sejam usados adequadamente.
Quais são os principais desafios da governança de IA em comparação com a governança de dados tradicional?
Os líderes tecnológicos mencionaram que a governação da IA é um próximo passo pure e uma progressão da governação de dados. Dito isto, existem algumas diferenças importantes a serem lembradas. Em primeiro lugar, governar a IA exige um nível de confiança nos resultados do sistema de IA. Com a governança de dados tradicional, os líderes de dados costumavam poder rastrear facilmente desde uma resposta até um resultado usando um modelo estatístico tradicional. Com a IA, a rastreabilidade e a linhagem tornam-se um verdadeiro desafio e os limites podem ser facilmente confundidos. Ser capaz de confiar no resultado alcançado pelo seu modelo de IA pode ser afetado negativamente por alucinações e confabulações, o que é um desafio único para a IA que deve ser resolvido para garantir uma governação adequada.
Você acredita que existe uma solução common para governança de IA e segurança de dados ou é mais específico para cada caso?
“Embora eu não ache que exista uma abordagem única para a governação da IA neste momento no que se refere à segurança dos dados, há certamente considerações que os líderes de dados deveriam adotar agora para estabelecer uma base para a segurança e a governação. Quando se trata de governar a IA, é realmente elementary ter contexto sobre para que o modelo de IA está sendo usado e por quê. Se você estiver usando IA para algo mais mundano e com menos impacto, sua calculadora de risco será muito menor. Se você estiver usando IA para tomar decisões sobre cuidados de saúde ou treinar um veículo autônomo, o impacto do risco será muito maior. Isto é semelhante à governança de dados; por que os dados estão sendo usados é tão importante quanto como eles estão sendo usados.
Recentemente, você escreveu um artigo intitulado “Enfrentando as ameaças ocultas da IA sombria”. O que é Shadow AI e por que as empresas deveriam tomar nota disso?
“Shadow AI pode ser definida como o uso desonesto de ferramentas de IA não autorizadas que estão fora da estrutura de governança de uma organização. As empresas precisam de estar conscientes deste fenómeno para proteger os dados, porque alimentar dados internos numa aplicação não autorizada, como uma ferramenta de IA, pode representar um risco enorme. Shadow IT é geralmente bem conhecido e relativamente fácil de gerenciar, uma vez detectado. Basta encerrar o aplicativo e seguir em frente. Com a Shadow AI, você não tem um acordo claro do usuário last sobre como os dados são usados para treinar um modelo de IA ou onde o modelo finalmente compartilha suas respostas depois de geradas. Essencialmente, uma vez que os dados estão no modelo, você perde o controle sobre eles. Para mitigar o risco potencial da IA sombra, as organizações devem estabelecer acordos claros e processos formalizados para a utilização destas ferramentas caso os dados saiam do ambiente.
Você poderia explicar as vantagens do uso do controle de acesso baseado em atributos (ABAC) em relação ao controle de acesso baseado em funções (RBAC) tradicional na segurança de dados?”
O controle de acesso baseado em função (RBAC) funciona restringindo permissões ou acesso ao sistema com base na função de um indivíduo dentro da organização. A vantagem disso é que torna o controle de acesso estático e linear porque os usuários só podem acessar os dados se forem atribuídos a determinadas funções predeterminadas. Embora um modelo RBAC tenha servido tradicionalmente como uma forma prática de controlar o uso de dados internos, ele não é de forma alguma indestrutível e hoje podemos ver que sua simplicidade também é sua principal desvantagem.
O RBAC period prático para uma organização menor, com funções limitadas e poucas iniciativas de dados. As organizações contemporâneas são orientadas por dados, com necessidades de dados que crescem com o tempo. Neste cenário cada vez mais comum, a eficiência do RBAC desmorona. Felizmente, temos uma opção mais moderna e flexível para controle de opções: controle de acesso baseado em atributos (ABAC). O modelo ABAC adota uma abordagem mais dinâmica para acesso e segurança de dados do que o RBAC. Ele outline funções lógicas combinando os atributos observáveis de usuários e dados e determinando decisões de acesso com base nesses atributos. Um dos maiores pontos fortes do ABAC é a sua natureza dinâmica e escalável. À medida que os casos de utilização de dados crescem e a democratização dos dados permite mais utilizadores dentro das organizações, os controlos de acesso devem ser capazes de se expandir com os seus ambientes para manter uma segurança de dados consistente. Um sistema ABAC também tende a ser inerentemente mais seguro do que os modelos anteriores de controle de acesso. Além do mais, esse alto nível de segurança de dados não ocorre às custas da escalabilidade. Ao contrário dos padrões anteriores de controle de acesso e governança, o caráter dinâmico do ABAC cria um modelo à prova de futuro.”
Quais são as principais etapas para expandir o acesso aos dados e, ao mesmo tempo, manter uma governança e segurança de dados robustas?
O controle do acesso aos dados é usado para restringir o acesso, as permissões e os privilégios concedidos a determinados usuários e sistemas que ajudam a garantir que apenas indivíduos autorizados possam ver e usar conjuntos de dados específicos. Dito isso, as equipes de dados precisam acessar o máximo de dados possível para gerar insights de negócios mais precisos. Isto representa um problema para as equipas de segurança e governação de dados, responsáveis por garantir que os dados estão adequadamente protegidos contra acesso não autorizado e outros riscos. Num ambiente empresarial cada vez mais orientado por dados, deve ser alcançado um equilíbrio entre estes interesses concorrentes. No passado, as organizações tentavam encontrar esse equilíbrio usando uma abordagem passiva ao controle de acesso a dados, que apresentava gargalos de dados e impedia as organizações de acelerar. Para expandir o acesso aos dados e ao mesmo tempo manter uma governança e segurança de dados robustas, as organizações devem adotar o controle automatizado de acesso aos dados, que introduz velocidade, agilidade e precisão no processo de aplicação de regras aos dados. Existem cinco etapas a serem dominadas para automatizar seu controle de acesso a dados:
- Deve ser capaz de oferecer suporte a qualquer ferramenta usada por uma equipe de dados.
- Precisa dar suporte a todos os dados, independentemente de onde estejam armazenados ou da tecnologia de armazenamento subjacente.
- Requer acesso direto aos mesmos dados ativos em toda a organização.
- Qualquer pessoa, com qualquer nível de conhecimento, pode compreender quais regras e políticas estão sendo aplicadas aos dados corporativos.
- As políticas de privacidade de dados devem estar em um native central.
- Uma vez dominados estes pilares, as organizações podem libertar-se da abordagem passiva ao controlo de acesso a dados e permitir um controlo de acesso a dados seguro, eficiente e escalável.
Em termos de monitoramento de dados em tempo actual, como a Immuta capacita as organizações a gerenciar proativamente o uso de dados e os riscos de segurança?
A oferta de produtos Detect da Immuta permite que as organizações gerenciem proativamente seu uso de dados, pontuando automaticamente os dados com base em quão sensíveis eles são e como são protegidos (como mascaramento de dados ou uma finalidade declarada para acessá-los) para que as equipes de dados e segurança possam priorizar riscos e receba alertas em tempo actual sobre possíveis incidentes de segurança. Ao identificar e priorizar rapidamente os riscos de uso de dados com o Immuta Detect, os clientes podem reduzir o tempo de mitigação de riscos e, em geral, manter uma segurança robusta de dados para seus dados.
Obrigado pela ótima entrevista, leitores que desejam saber mais devem visitar Immuta.
