CISO da Amex combate ameaças em velocidade de máquina com IA

Equilibrar o paradoxo de proteger uma das principais empresas globais de viagens, software e serviços contra as ameaças crescentes da IA ilustra por que os CISOs precisam estar à frente das mais recentes táticas e estratégias de ataque de IA adversária.

Como uma plataforma de viagens B2B global líder, American Express Global Business Travel (Amex GBT) e sua equipe de segurança estão fazendo exatamente isso, enfrentando proativamente esse desafio com um foco duplo em inovação em cibersegurança e governança. Com profundas raízes em uma empresa de holding bancário, a Amex GBT mantém os mais altos padrões de privacidade de dados, conformidade de segurança e gerenciamento de riscos. Isso torna a adoção segura e escalável de IA uma prioridade crítica.

O Chief Information Security Officer da Amex GBT, David Levin, está liderando esse esforço. Ele está construindo uma estrutura de governança de IA multifuncional, incorporando segurança em cada fase da implementação da IA e gerenciando o aumento da shadow AI sem sufocar a inovação. Sua abordagem oferece um modelo para organizações que navegam na interseção de alto risco entre o avanço da IA e a defesa cibernética.

A seguir, são trechos da entrevista de Levin com a VentureBeat:

VentureBeat: Como a Amex GBT está usando IA para modernizar a detecção de ameaças e as operações do SOC?

David Levin: Estamos integrando IA em nossos fluxos de trabalho de detecção e resposta a ameaças. No lado da detecção, usamos modelos de aprendizado de máquina (ML) em nossas ferramentas SIEM e EDR para identificar comportamentos maliciosos mais rapidamente e com menos falsos positivos. Isso, por si só, acelera como investigamos os alertas. No SOC, a automação impulsionada por IA enriquece os alertas com dados contextuais no momento em que aparecem. Os analistas abrem um ticket e já veem detalhes críticos; não há mais necessidade de alternar entre várias ferramentas para obter informações básicas.

A IA também ajuda a priorizar quais alertas são prováveis de serem urgentes. Nossos analistas então dedicam seu tempo nas questões de maior risco em vez de filtrar ruídos. Isso resulta em um aumento massivo de eficiência. Podemos responder em velocidade de máquina onde faz sentido e permitir que nossos engenheiros de segurança experientes se concentrem em incidentes complexos. Em última análise, a IA nos ajuda a detectar ameaças com mais precisão e a responder mais rapidamente.

VentureBeat: Você também trabalha com parceiros de segurança gerenciada, como a CrowdStrike OverWatch. Como a IA atua como um multiplicador de força para as equipes SOC internas e externas?
Levin: A IA amplifica nossas capacidades de duas maneiras. Primeiro, CrowdStrike OverWatch nos fornece caça de ameaças 24/7 aumentada por aprendizado de máquina avançado. Eles constantemente escaneiam nosso ambiente em busca de sinais sutis de um ataque, incluindo coisas que poderíamos perder se dependêssemos apenas da inspeção manual. Isso significa que temos uma equipe de inteligência de ameaças de primeira linha em prontidão, usando IA para filtrar eventos de baixo risco e destacar ameaças reais.

Em segundo lugar, a IA aumenta a eficiência de nossos analistas SOC internos. Antes, fazíamos a triagem manual de muitos mais alertas. Agora, um motor de IA lida com essa filtragem inicial. Ele pode rapidamente distinguir o suspeito do benigno, para que os analistas vejam apenas os eventos que precisam de julgamento humano. Isso se sente como adicionar um parceiro virtual inteligente. Nossa equipe pode lidar com mais incidentes, focar na caça de ameaças e realizar investigações avançadas. Essa sinergia — experiência humana mais suporte de IA — resulta em resultados melhores do que cada um deles isoladamente.

VentureBeat: Você está liderando uma estrutura de governança de IA na GBT, baseada em princípios do NIST. Como isso se apresenta e como você a implementa de forma multifuncional?

Levin: Nos apoiamos na Estratégia de Gestão de Risco de IA do NIST, que nos ajuda a avaliar e mitigar sistematicamente os riscos relacionados à IA em torno de segurança, privacidade, preconceito e mais. Formamos um comitê de governança multifuncional com representantes de segurança, jurídico, privacidade, conformidade, RH e TI. Essa equipe coordena as políticas de IA e garante que novos projetos atendam aos nossos padrões antes de entrarem em operação.

Nossa estrutura abrange todo o ciclo de vida da IA. Logo no início, cada caso de uso é mapeado contra riscos potenciais — como desvio de modelo ou exposição de dados — e definimos controles para abordá-los. Medimos o desempenho por meio de testes e simulações adversariais para garantir que a IA não seja facilmente enganada. Também insistimos em algum nível de explicabilidade. Se uma IA sinaliza um incidente, queremos saber por quê. Em seguida, uma vez que os sistemas estão em produção, monitoramos-os para confirmar que ainda atendem aos nossos requisitos de segurança e conformidade. Ao integrar essas etapas em nosso programa mais amplo de riscos, a IA se torna parte de nossa governança geral, em vez de uma reflexão tardia.

VentureBeat: Como você lida com a shadow AI e garante que os funcionários sigam essas políticas?

Levin: A shadow AI surgiu no momento em que as ferramentas generativas de IA públicas decolaram. Nossa abordagem começa com políticas claras: os funcionários não devem inserir dados confidenciais ou sensíveis em serviços de IA externos sem aprovação. Definimos o uso aceitável, os riscos potenciais e o processo para a avaliação de novas ferramentas.

No lado técnico, bloqueamos plataformas de IA não aprovadas na borda da nossa rede e usamos ferramentas de prevenção da perda de dados (DLP) para impedir o upload de conteúdo sensível. Se alguém tentar usar um site de IA não autorizado, recebe um alerta e é direcionado a uma alternativa aprovada. Também confiamos fortemente em treinamentos. Compartilhamos histórias de cautela do mundo real — como inserir um documento proprietário em um chatbot aleatório. Isso tende a ficar na mente das pessoas. Ao combinar educação do usuário, clareza nas políticas e verificações automáticas, conseguimos restringir a maioria dos usos irregulares de IA enquanto ainda incentivamos a inovação legítima.

VentureBeat: Ao implantar IA para segurança, quais desafios técnicos você encontra, como segurança de dados, desvio de modelo ou testes adversariais?

Levin: A segurança de dados é uma preocupação primordial. Nossa IA frequentemente precisa de logs de sistemas e dados de usuários para identificar ameaças, então criptografamos esses feeds e restringimos quem pode acessá-los. Também garantimos que nenhuma informação pessoal ou sensível seja utilizada a menos que seja estritamente necessário.

Desvio de modelo é outro desafio. Padrões de ataque evoluem constantemente. Se confiarmos em um modelo treinado com os dados do ano passado, corremos o risco de perder novas ameaças. Temos uma programação para re-treinar modelos quando as taxas de detecção caem ou os falsos positivos aumentam.

Também realizamos testes adversariais, essencialmente simulando ataques à IA para ver se invasores poderiam enganá-la ou contorná-la. Isso pode significar alimentar o modelo com dados sintéticos que mascaram intrusões reais ou tentar manipular logs. Se encontrarmos uma vulnerabilidade, re-treinamos o modelo ou adicionamos verificações extras. Também valorizamos muito a explicabilidade: se a IA recomenda isolar uma máquina, queremos saber qual comportamento acionou essa decisão. Essa transparência promove confiança na saída da IA e ajuda os analistas a validá-la.

VentureBeat: A IA está mudando o papel do CISO, tornando-o mais um habilitador estratégico de negócios do que um simples guardião da conformidade?

Levin: Absolutamente. A IA é um exemplo primário de como os líderes de segurança podem orientar a inovação em vez de bloqueá-la. Em vez de apenas dizer: “Não, isso é arriscado demais”, estamos moldando como adotamos a IA desde o início, definindo seu uso aceitável, padrões de dados de treinamento e monitorando abusos. Como CISO, estou trabalhando em estreita colaboração com executivos e equipes de produtos para que possamos implantar soluções de IA que realmente beneficiem o negócio, seja melhorando a experiência do cliente ou detectando fraudes mais rapidamente, enquanto ainda atendemos a regulamentações e protegemos dados.

Também temos assento à mesa para decisões importantes. Se um departamento quiser lançar um novo chatbot de IA para reservas de viagens, eles envolvem a segurança no início para gerenciar riscos e conformidade. Portanto, estamos avançando além da imagem de guardião da conformidade, passando a um papel que impulsiona a inovação responsável.

VentureBeat: Como a adoção de IA é estruturada globalmente na GBT, e como você incorpora a segurança nesse processo?

Levin: Adotamos uma abordagem de centro de excelência global. Há uma equipe central de estratégia de IA que estabelece padrões e diretrizes gerais, enquanto líderes regionais impulsionam iniciativas adaptadas a seus mercados. Como operamos mundialmente, coordenamos melhores práticas: se a equipe da Europa desenvolve um processo robusto de mascaramento de dados de IA para cumprir o GDPR, compartilhamos isso com as equipes dos EUA ou da Ásia.

A segurança é incorporada desde o primeiro dia através do “seguro por design”. Qualquer projeto de IA, onde quer que seja iniciado, enfrenta as mesmas avaliações de risco e verificações de conformidade antes do lançamento. Realizamos modelagem de ameaças para ver como a IA poderia falhar ou ser mal utilizada. Impomos os mesmos controles de criptografia e acessos globalmente, mas também nos adaptamos às regras locais de privacidade. Isso garante que, onde quer que um sistema de IA seja construído, ele atenda a padrões consistentes de segurança e confiança.

VentureBeat: Você tem pilotado ferramentas como a Charlotte AI da CrowdStrike para triagem de alertas. Como os co-pilotos de IA estão ajudando na resposta a incidentes e no treinamento de analistas?

Levin: Com Charlotte AI, estamos liberando a triagem de muitos alertas. O sistema analisa instantaneamente novas detecções, estima a gravidade e sugere os próximos passos. Isso, por si só, economiza horas toda semana para nossos analistas de primeira linha. Eles abrem um ticket e veem um resumo conciso em vez de logs brutos.

Também podemos interagir com a Charlotte, fazendo perguntas de acompanhamento, incluindo: “Esse endereço IP está vinculado a ameaças anteriores?” Este aspecto de “IA conversacional” é de grande ajuda para analistas juniores, que aprendem com o raciocínio da IA. Não é uma caixa preta; ela compartilha contexto sobre o porquê de sinalizar algo como malicioso. O resultado líquido é uma resposta a incidentes mais rápida e uma camada de mentoria incorporada para nossa equipe. Mantemos uma supervisão humana, especialmente para ações de alto impacto, mas esses co-pilotos nos permitem responder na velocidade da máquina enquanto preservamos o julgamento do analista.

VentureBeat: O que os avanços em IA significam para fornecedores de cibersegurança e provedores de serviços de segurança gerenciados (MSSPs)?

Levin: A IA está elevando o padrão para soluções de segurança. Esperamos que os provedores de MDR automatizem mais de sua triagem inicial para que os analistas humanos possam se concentrar nos problemas mais difíceis. Se um fornecedor não puder demonstrar detecção ou resposta em tempo real orientada por IA significativa, terá dificuldades para se destacar. Muitos estão incorporando assistentes de IA, como a Charlotte, diretamente em suas plataformas, acelerando a rapidez com que identificam e contêm ameaças.

Dito isso, a ubiquidade da IA também significa que precisamos ver além das palavras da moda. Testamos e validamos as alegações de IA de um fornecedor — “Mostre-nos como seu modelo aprendeu com nossos dados” ou “Prove que pode lidar com essas ameaças avançadas.” A corrida armamentista entre atacantes e defensores só intensificará, e os fornecedores de segurança que dominarem a IA prosperarão. Espero plenamente que novos serviços — como a aplicação de políticas baseada em IA ou forenses mais profundas — emergirão dessa tendência.

VentureBeat: Por fim, que conselhos você daria aos CISOs que estão começando sua jornada em IA, equilibrando as necessidades de conformidade com a inovação empresarial?

Levin: Primeiro, construa uma estrutura de governança logo no início, com políticas claras e critérios de avaliação de riscos. A IA é poderosa demais para ser implantada de forma descuidada. Se você definir o que é a IA responsável em sua organização desde o início, evitará correr atrás da conformidade retroativamente.

Em segundo lugar, colabore com as equipes jurídicas e de conformidade desde o início. A IA pode cruzar fronteiras em privacidade de dados, propriedade intelectual e mais. Ter eles a bordo desde cedo previne surpresas desagradáveis mais tarde.

Em terceiro lugar, comece pequeno, mas mostre ROI. Escolha um ponto de dor em segurança de alto volume (como triagem de alertas) onde a IA pode brilhar. Essa vitória rápida constrói credibilidade e confiança para expandir os esforços de IA. Ao mesmo tempo, invista na higiene dos dados — dados limpos são tudo para o desempenho da IA.

Quarto, treine sua equipe. Mostre aos analistas como a IA os ajuda, em vez de substituí-los. Explique como funciona, onde é confiável e onde a supervisão humana ainda é necessária. Uma equipe bem informada é mais provável que adote essas ferramentas.

Finalmente, adote uma mentalidade de melhoria contínua. As ameaças evoluem; sua IA também deve evoluir. Re-treine modelos, execute testes adversariais, colete feedback dos analistas. A tecnologia é dinâmica, e você precisará se adaptar. Se você seguir todas essas etapas — governança clara, parcerias fortes, medição contínua — a IA pode ser um grande habilitador de segurança, permitindo que você se mova mais rápido e com mais confiança em um cenário de ameaças que cresce a cada dia.

VentureBeat: Onde você vê a IA na cibersegurança nos próximos anos, tanto para a GBT quanto para a indústria mais ampla?

Levin: Estamos caminhando para fluxos de trabalho SOC autônomos, onde a IA lida com mais da triagem de alertas e da resposta inicial. Os humanos supervisionam incidentes complexos, mas tarefas rotineiras serão totalmente automatizadas. Também veremos segurança preditiva — modelos de IA que preveem quais sistemas estão mais em risco, para que as equipes possam corrigir ou segmentar esses sistemas com antecedência.

Em uma escala mais ampla, os CISOs supervisionarão a confiança digital, garantindo que a IA seja transparente, esteja em conformidade com as leis emergentes e não seja facilmente manipulável. Os fornecedores vão refinar a IA para lidar com tudo, desde forenses avançadas até ajuste de políticas. Os atacantes, por sua vez, vão usar a IA para criar campanhas de phishing mais furtivas ou desenvolver malware polimórfico. Essa corrida armamentista torna a governança robusta e a melhoria contínua críticas.

Na GBT, espero que a IA permeie além do SOC para áreas como prevenção de fraudes em reservas de viagens, análises de comportamento de usuários e até treinamento de segurança personalizado. Em última análise, líderes de segurança que utilizarem a IA de forma reflexiva obterão uma vantagem competitiva — protegendo suas empresas em larga escala enquanto liberam talentos para se concentrar nos desafios mais complexos. É uma mudança de paradigma significativa, mas que promete defesas mais fortes e inovação mais rápida se gerenciarmos de forma responsável.