Cibersegurança

A Inteligência Artificial Já Está Dentro da Sua Empresa. Se Você Não Está a Segurança, Está Atrasado

mm
Publicado em
Atualizado em

Seja qual for a forma como você oficialmente implantou a inteligência artificial em sua organização, ela já está lá. Os funcionários estão usando o ChatGPT para criar documentos, provavelmente carregando dados sensíveis em ferramentas online para acelerar a análise e confiando em ferramentas geradoras para atalhar tudo, desde código até atendimento ao cliente. A inteligência artificial está acontecendo com ou sem você, e isso deve manter os CISOs acordados à noite.

Essa proliferação silenciosa de ferramentas de inteligência artificial não verificadas em todos os departamentos criou uma nova camada de TI sombra. É descentralizada, em grande parte invisível e cheia de riscos. Desde violações de conformidade até vazamento de dados e tomada de decisões incontroláveis, as consequências de ignorar essa onda de uso de inteligência artificial são reais. No entanto, muitas empresas ainda pensam que podem contê-la com políticas ou firewalls.

A verdade é que a inteligência artificial não pode ser bloqueada. Ela só pode ser segura. E quanto mais cedo as empresas aceitarem isso, mais cedo poderão começar a fechar as lacunas perigosas que a inteligência artificial já abriu.

A Inteligência Artificial Sombra Está Infiltrando as Organizações, e é um Ponto Cego de Segurança

Já vimos esse padrão antes. A adoção de nuvem decolou no início dos anos 2010 exatamente dessa forma, com equipes alcançando ferramentas que as ajudavam a se mover mais rápido, muitas vezes sem a aprovação da equipe de segurança. Muitas equipes de segurança tentaram resistir à mudança, apenas para serem forçadas a uma limpeza reativa uma vez que violações, configurações incorretas ou falhas de conformidade ocorressem.

Hoje, a mesma coisa está acontecendo com a inteligência artificial. De acordo com nosso Relatório de Segurança de Inteligência Artificial de 2024, mais da metade das organizações está usando inteligência artificial para desenvolver seus próprios aplicativos personalizados, e no entanto, poucas têm visibilidade sobre onde esses modelos vivem, como estão configurados ou se estão expostos a dados sensíveis.

Isso cria dois riscos:

  1. Funcionários usando ferramentas públicas para acessar dados proprietários ou sensíveis, o que expõe essas informações a sistemas externos sem supervisão.
  2. Equipes internas implantando modelos de inteligência artificial sem controles de segurança adequados, o que resulta em vulnerabilidades que podem ser exploradas e más práticas que poderiam falhar em auditorias.

A inteligência artificial sombra não é apenas uma questão de segurança, pode ser uma crise de governança. Se você não pode ver onde a inteligência artificial está sendo usada, não pode gerenciar como ela é treinada, quais dados ela tem acesso ou quais saídas ela está gerando. E se você não estiver rastreando as decisões de inteligência artificial, perde a capacidade de explicá-las ou defendê-las, deixando-o aberto a riscos regulatórios, de reputação ou operacionais.

Por Que as Ferramentas de Segurança Tradicionais Não São Suficientes

A maioria das ferramentas de segurança não foi projetada para lidar com inteligência artificial. Elas não reconhecem artefatos de modelo, não podem digitalizar caminhos de dados específicos de inteligência artificial e não sabem como rastrear interações de LLM ou impor governança de modelo. Mesmo as ferramentas que existem tendem a se concentrar em partes estreitas do quebra-cabeça, deixando as organizações a lidar com soluções pontuais sem uma visão abrangente.

Isso é um problema. A segurança de inteligência artificial não pode ser um afterthought ou uma extensão. Ela precisa ser construída na forma como você gerencia seu ambiente de nuvem, protege seus dados e estrutura seus pipelines de DevSecOps. Caso contrário, você está subestimando o quanto a inteligência artificial está se tornando central para suas operações e perde a oportunidade de segurá-la como parte fundamental de sua infraestrutura de negócios.

O Mito de “Apenas Bloqueá-lo” Precisa Acabar

É tentador pensar que você pode resolver isso com uma proibição geral por meio de políticas de “nenhuma ferramenta de inteligência artificial de terceiros” ou “nenhuma experimentação interna”. Mas isso é pensamento otimista. Simplesmente, os funcionários de hoje estão usando ferramentas de inteligência artificial para realizar seu trabalho mais rápido. E eles não estão fazendo isso com más intenções, estão fazendo isso porque funciona.

A inteligência artificial é um multiplicador de forças e as pessoas irão alcançá-la desde que ajude a cumprir prazos, reduzir esforço ou resolver problemas mais rápido.

Tentar bloquear esse comportamento diretamente não irá pará-lo. Isso apenas o levará para debaixo do tapete. E quando algo der errado, você estará na pior posição possível, sem visibilidade, sem políticas e sem plano de resposta.

Abraçar a Inteligência Artificial Estrategicamente, Seguramente e Visivelmente

A abordagem mais inteligente é abraçar a inteligência artificial proativamente, mas nos seus próprios termos. Isso começa com três coisas:

  1. Forneça aos funcionários opções seguras e sancionadas. Se você quer desviar o uso de ferramentas de risco, precisa oferecer alternativas seguras. Seja por meio de LLMs internos, ferramentas de terceiros verificadas ou assistentes de inteligência artificial integrados em sistemas centrais, a chave é atender aos funcionários onde eles estão, com ferramentas que são tão rápidas, mas muito mais seguras.

  2. Estabeleça políticas claras e as execute. A governança de inteligência artificial precisa ser específica, ação e fácil de seguir. Que tipo de dados pode ser compartilhado com ferramentas de inteligência artificial? Quais são as linhas vermelhas? Quem é responsável por revisar e aprovar projetos de inteligência artificial internos? Publique suas políticas e certifique-se de que seus mecanismos de execução, técnicos e procedimentais, estejam no lugar.

  3. Invista em visibilidade e monitoramento. Você não pode segurar o que não pode ver. Você precisa de ferramentas que possam detectar o uso de inteligência artificial sombra, identificar chaves de acesso expostas, sinalizar modelos mal configurados e destacar onde dados sensíveis podem estar vazando para conjuntos de treinamento ou saídas. A gestão de postura de inteligência artificial está se tornando tão crítica quanto a gestão de postura de segurança de nuvem.

Os CISOs Precisam Liderar Essa Transição

Gostemos ou não, este é um momento definidor para a liderança de segurança. O papel do CISO não é mais apenas proteger a infraestrutura. Está se tornando mais sobre habilitar a inovação com segurança, o que significa ajudar a organização a usar a inteligência artificial para se mover mais rápido, garantindo que a segurança, a privacidade e a conformidade sejam incorporadas em cada etapa.

Essa liderança parece:

  • Educar a diretoria e os executivos sobre riscos reais versus percebidos de inteligência artificial
  • Criar parcerias com equipes de engenharia e produto para incorporar a segurança mais cedo nas implantações de inteligência artificial
  • Investir em ferramentas modernas que entendam como os sistemas de inteligência artificial funcionam
  • Construir uma cultura onde o uso responsável de inteligência artificial é trabalho de todos

Os CISOs não precisam ser os especialistas em inteligência artificial na sala, mas precisam ser aqueles que fazem as perguntas certas. Quais modelos estamos usando? Quais dados estão alimentando-os? Quais guardiões estão no lugar? Podemos provar?

O Fato é: Não Fazer Nada é o Maior Risco de Todos

A inteligência artificial já está mudando a forma como nossos negócios operam. Seja qual for a forma como equipes de atendimento ao cliente criam respostas mais rápidas, equipes de finanças analisam previsões ou desenvolvedores aceleram seu fluxo de trabalho, a inteligência artificial está embutida no trabalho diário. Ignorar essa realidade não desacelera a adoção, apenas convida pontos cegos, vazamentos de dados e falhas regulatórias.

O caminho mais perigoso à frente é a inação. Os CISOs e líderes de segurança devem aceitar o que já é verdade: a inteligência artificial já está aqui. Está nos seus sistemas, está nos seus fluxos de trabalho e não vai embora. A pergunta é se você irá segurá-la antes que ela crie danos que você não pode desfazer.

Abraça a inteligência artificial, mas nunca sem uma mentalidade de segurança em primeiro lugar. É a única maneira de ficar à frente do que está por vir.

mm

Gil Geron é CEO e Co-Fundador da Orca Security. Gil tem mais de 20 anos de experiência liderando e entregando produtos de cibersegurança. Anteriormente ao seu papel como CEO, Gil foi Diretor de Produto desde a criação da Orca. Ele é apaixonado pela satisfação do cliente e trabalhou em estreita colaboração com os clientes para garantir que eles possam prosperar de forma segura na nuvem. Gil está comprometido em fornecer soluções de cibersegurança sem comprometer a eficiência. Antes de co-fundar a Orca Security, Gil dirigiu uma grande equipe de profissionais de cibersegurança na Check Point Software Technologies.