Rozhovor s Andrewem Cunje, Appian CISO

Zabezpečení je nezbytným prvkem v jakékoli společnosti bez ohledu na sektor, ve kterém působí. CISO se stal nezbytnou postavou a má stále důležitější funkci ve strategii a podnikání organizací. Pokud je vaše práce zásadní, v případě technologické společnosti se znásobí: Nejenže musí chránit společnost, pro kterou pracujete, ale také vyvíjet a vytvářet řešení, která vyvíjejí, ať už je bezpečná. To je případ Andrewa Cunje, Appianova CISO. Mluvíme s ním o jeho práci a rostoucí důležitosti kybernetické bezpečnosti.

Rozhovor s Andrewem Cunje, Appian CISO

Jaká je vaše funkce v Appian?

Byl jsem v této společnosti pět let. Před Appianem jsem byl v Salesforce, kde jsem měl spoustu práce souvisejících s infrastrukturou. Po příjezdu do Appian je tým I Direct zodpovědný za bezpečnost produkce i společnosti. Máme tedy dva samostatné inženýrské vybavení, které vytvářejí služby ve společnosti, chrání společnost a vytvářejí služby pro výrobu, stavební bloky infrastruktury. Máme také vybavení reakce na incident a marketingovou funkci. Postaráme se tedy o důvěru, GRC, prodej a zabezpečení a také v případě dotazníků nebo auditů. Máme také dva právníky specializované na kybernetickou bezpečnost. Tým hodně rozrostl. Nyní jsme asi 70 lidí. Je to skvělá investice.

Jaká je strategie kybernetické bezpečnosti společnosti? Používají stejnou strategii na vaše zákazníky?

Ano. Nejlepší způsob, jak popsat bezpečnost v Appian, je to, že máme 30 různých certifikací, takže jsme pro naše klienty velmi regulováni. A tyto certifikace bereme ve všech zemích, ve kterých působíme. A je to pro nás běžný jazyk. Když přemýšlíme o jakémkoli řízení, parametru nebo bezpečnostním řešení, snažíme se to udělat pro všechny zákazníky. A v tomto scénáři zahrnujeme Appian jako klienta.

V těchto 30 certifikacích uplatňujeme zabezpečení ve všech případech, protože to, co je dobré pro klienta, je dobré pro další, pokud to není něco konkrétního, jako je například bezpečnost FIP (federální standardy zpracování informací). Možná španělská vláda nechce šifrování FIPS nebo FIPS. Nejprve to tedy omezíme na tento základní koncept. Další věc, kterou uděláme, je nastavit základy bezpečnosti a bod. Tím myslím tím, že když do produktu začleňujeme bezpečnost, chceme zajistit, aby byly přítomny základní základní komponenty, které jeho zajišťují. Pokud tedy vytvoříme pracovní vytížení ve společnosti nebo pro infrastrukturu klienta, bude mít všechny základní prvky nebo příslušný dodavatelský řetězec, který jí umožní bezpečně zahájit službu. Naše myšlenka se stane zkrátka položit základny bezpečnosti a poté ji rozšířit.

Dnes agenti AI zabírají několik případů použití a vypadají jako módní technologie. Jaké důsledky mají agenti z hlediska zabezpečení, protože jednají v rámci platformy a spouštějí různé akce v rámci platformy Appian? Ovlivňuje to také vaši oblast odpovědnosti?

Ano. Jakýkoli produkt vyvinutý interně pro naše zákazníky nebo jakékoli řešení pro naše interní zaměstnance by interagoval s bezpečnostním zařízením. Máme tedy hodnocení hrozeb, kontroly dodržování předpisů a regulačních kontrol. Stručně řečeno, bezpečnost je integrována do našeho životního cyklu vývoje softwaru, ať už ve výrobě nebo ve společnosti. Pokud jde o agenty AI a jak to vidíme jinak, nejlepší způsob, jak začít přemýšlet o tom panoramatu nebo o našem způsobu, jak to vidět, je to, že je to prostě nelidská identita. Je to jen další identita, která interaguje s daty. A veškerá naše zabezpečení sleduje data. Takže bez ohledu na to, kde jsou data, v závislosti na kontextu těchto údajů, v závislosti na rizicích spojených s těmito údaji nebo v této aplikaci, bude použita jiná politika. A to je to, co nabízíme nebo se rozšíříme na naše klienty, když pracují s Appianem.

Jak mohou útočníci přistupovat k datům? Například bych mohl vytvořit agenta na pochodu a požádat ho, aby hledal data, která mě zajímají. Jaké jsou scénáře, které jste vyhodnotili a jaká nápravná opatření se použila?

S bezpečností AI je to jak na ochranu dat, tak pro kontrolu modelů. Jednou z věcí, které Appian má velmi jasné, je tedy v první řadě, že se jedná o soukromou AI. Za druhé, máme objekt. Nazývá se „seznam softwarových materiálů“. Toto je seznam materiálů AI. Některé z věcí, které děláme, jsou jako dezinfekce vchodu. Chceme se ujistit, že se nesnaží oklamat model, aby udělali něco, co byste nechtěli dělat. Ale opět se všechno vrací do základny naší infrastruktury, která má všechny tyto bezpečnostní bariéry, počínaje přístupem k objektům. Nechceme, aby měli příliš permisivní přístup. To je samozřejmě něco, co je integrováno do procesu v každém kroku silnice pro zákazníky.

Ale co ochrana samotného agenta?

Samotní agenti jsou vytvořeni v rámci platformy Appian. Tato platforma má všechny regulační rámce a všechny bezpečnostní prvky. Je postaven se stejnou platformou infrastruktury, na které je založen Appian, a vytvoří stejnou infrastrukturu agentů uvnitř Appian.

Všechny platformy, včetně Appian, jsou založeny na třech prvcích, které jsou technologií, bezpečností a dodržování předpisů. Je velmi obtížné kombinovat tyto tři faktory na platformě, jako je Appian?

Nejlepší způsob, jak kombinovat tři prvky, musí vždy začít z pohledu zabezpečení. V Appian implementujeme vše, co je nezbytné k zaručení bezpečnosti. Nikdy nebudeme uvolnit ovládací prvky. Otázka nyní zní: Jak můžete rychle postupovat ve velkém měřítku? Myslím, že se to vrací k tomu, co jsem řekl na začátku, což má mít solidní bezpečnostní strategii založenou na bezpečnostních inovacích principech. Pokud tedy tuto novou službu vytvoříme, víme, že se bude uchýlit k příslušným službám pro certifikáty a bezpečné kontejnery, takže můžeme vylézt velmi rychle. Protože poslední věcí, kterou chceme, je zpomalit inovace. Pro mě nejsou bezpečnost a inovace nekompatibilní. Jsou doplňkové.