A IA generativa (GenAI) está se expandindo tão rapidamente que os profissionais de segurança estão lutando para monitorar seu impacto. No momento, os funcionários estão redigindo seus e-mails e relatórios usando o ChatGPT como assistente de redação, e as equipes de vendas estão canalizando dados de gerenciamento de relacionamento com o cliente (CRM) diretamente para ferramentas de assistência de IA. Alguns desenvolvedores estão até conectando seus repositórios de código ao Copilot. Muitas equipes estão incorporando a GenAI em suas operações diárias antes mesmo de descobrirem como governá-la.
A principal questão de tudo isto é a velocidade a que as empresas se agarraram à GenAI, mas ignoraram o desenvolvimento de uma boa segurança e governação. Os Diretores de Segurança da Informação, ou CISOs, estão enfrentando uma crise crescente de segurança de dados, uma crise que seus sistemas legados não foram construídos para gerenciar porque foram projetados em uma época em que a estrutura para levar em consideração essas novas preocupações ainda nem existia.
E embora as empresas estejam ansiosas por aproveitar a produtividade que a GenAI promete, as suas equipas de segurança muitas vezes ficam a lutar para garantir que coisas como dados proprietários, propriedade intelectual e informações privadas ou regulamentadas não estão a vazar para os grandes modelos de linguagem (LLMs) que sustentam a IA ou que estão a ser maltratados por agentes de IA não monitorizados.
A nova preocupação com IA
As preocupações do CISO não são hipotéticas. A realidade é que as empresas e organizações estão a adoptar a GenAI a um ritmo tão impressionante que, de acordo com análises recentes da indústria, 88% delas já incorporaram a IA generativa em pelo menos uma função empresarial. Uma integração tão rápida mostra o entusiasmo destas empresas com o potencial da IA, mas também destaca como a capacitação responsável da GenAI precisa de ser uma prioridade. Um estudo descobriu que apenas 24% dos Chief Information Officers (CIOs) e CISOs sentiam que as políticas de governação necessárias estavam em vigor para gerir adequadamente os seus actuais riscos relacionados com a IA.
Como resultado, o verdadeiro teste para os líderes de segurança é como construir as barreiras práticas de que necessitam para moderar corretamente, bem como modernizar a supervisão atual para que a adoção da IA não sacrifique a segurança e a proteção de dados em prol de maiores objetivos de produtividade orientados pela IA.
Re-arquitetando na era da IA
Atualmente, a arquitetura de segurança de dados se baseia na defesa de perímetro e nos controles de endpoint. Infelizmente, isso está a revelar-se cada vez mais insuficiente num ambiente onde os dados são movidos, resumidos, consumidos e regurgitados por serviços de IA sofisticados e, muitas vezes, de terceiros. Esses modelos mais antigos funcionavam sob a suposição de que o fluxo de dados seria sempre previsível e gerenciável em todos os terminais. GenAI quebra esse padrão criando caminhos novos, e até mesmo ocultos, para os dados passarem pelo pipeline.
Captain Compliance relata que “ChatGPT e produtos OpenAI relacionados desencadearam uma onda de procedimentos de aplicação do GDPR (Regulamento Geral de Proteção de Dados) começando em 2023”. Esta e outras investigações levaram a várias novas Leis de Privacidade de Informações para tentar combater a nova ameaça. Quando os funcionários usam um LLM disponível publicamente, eles estão efetivamente enviando dados corporativos para um ambiente que existe fora do controle direto da equipe de segurança da organização. Agora, embora os fornecedores de LLM ofereçam melhores acordos de dados, essa acessibilidade imediata e fácil às ferramentas de IA significa que a “IA sombra” se tornou uma preocupação constante e que as equipas de segurança têm de tratar cada interação de IA como um evento potencial de perda de dados até que possam provar o contrário.
Um estudo da Proofpoint mostrou que o grande volume de dados movidos por meio de ferramentas GenAI está sobrecarregando as soluções existentes de prevenção contra perda de dados (DLP), principalmente porque o DLP legado foi projetado para um mundo de transferências de e-mail e arquivos, não para o fluxo de dados de alta velocidade que vem com um modelo de IA. Isso significa que as equipes de segurança precisam mudar seu foco do simples bloqueio de certas ações suspeitas para a compreensão completa do contexto dos dados que estão sendo usados e da finalidade por trás de cada interação.
Os três pilares da segurança
Para conter melhor o novo ecossistema saturado de IA, os CISOs precisam de se concentrar em três pilares importantes:
1. Visibilidade
Você não pode governar o que não pode ver. As organizações precisam de ferramentas que possam monitorar o fluxo de dados que entra e sai dos serviços de IA. Isto inclui não apenas identificar quais ferramentas de IA estão sendo usadas, mas também quais dados estão sendo movimentados, o que exigirá plataformas de segurança de dados de última geração que possam rastrear a linhagem de dados em serviços de nuvem e outros ambientes.
2. Política
As antigas políticas genéricas de utilização aceitável já não são adequadas. As equipes de segurança precisam colaborar com seus departamentos jurídico e de conformidade para projetar melhor regras práticas para uso do GenAI. Isto inclui classificar os dados de acordo com a sua sensibilidade e, em seguida, definir regras específicas sobre como cada classificação pode interagir com diferentes modelos de IA.
3. Aplicação
Os controlos tradicionais precisam de ser transformados em soluções de gestão de segurança de dados que possam aplicar políticas em tempo real. Dessa forma, eles podem capacitar os funcionários a usar o GenAI de forma produtiva, ao mesmo tempo que oferecem proteções para evitar a exposição acidental ou mesmo maliciosa de dados. Basicamente, usar IA para proteger a IA, fazendo com que a máquina aprenda a identificar padrões de uso de dados e classificar automaticamente a sensibilidade dos dados.
A batalha pela frente
Para os CISOs modernos, a batalha que se aproxima tem menos a ver com manter a IA fora dos negócios e organizações que monitorizam, porque esse navio da IA já navegou, e mais com a simples integração da mesma de forma responsável. É necessário que haja uma mudança de foco das restrições gerais para a capacitação inteligente, para que as bases de segurança e governação necessárias possam ser construídas para resistir à rápida expansão da IA generativa.
O tempo para uma abordagem reativa já passou. A crescente complexidade da GenAI exige uma arquitetura de segurança proativa e líderes capazes de construí-la.
A postagem A luta do CISO: como a IA está mudando o cenário de segurança de dados apareceu pela primeira vez no ReadWrite.
