As empresas estão correndo para reinventar seus processos de negócio a partir da IA (inteligência artificial). No entanto, muitas estão ficando para trás quando se trata de manter a resiliência cibernética de seus sistemas críticos contra ataques e acessos não autorizados.
Dados da Accenture:
- 83% das organizações estão acelerando seus esforços de transformação com IA
- 99,7% dos executivos afirmam estar comprometidos em estabelecer novos níveis de desempenho em seus setores.
Porém,
- 70% dos executivos de segurança afirmam que implementam controles de segurança apenas para funções críticas ou só depois que a transformação foi finalizada, e vulnerabilidades, detectadas.
Não é por falta de atenção dos CISOs. Eles estão observando os riscos e impactos das aplicações de IA em seu ambiente e compreendendo como se preparar para lidar com as soluções de IA no mundo real.
Então, o que explica esse atraso das iniciativas? Qual a melhor maneira de se preparar para proteger aplicações baseadas em IA no ambiente?
Como os CISOs compreendem os riscos das aplicações de IA
O uso exponencial de IA generativa ou IA agêntica no ambiente corporativo está no centro das preocupações dos CISOs – ou melhor, tirando o sono deles. Boa parte da preocupação reside no fato de que a IA traz riscos difíceis de serem gerenciados.
Os usos estão se expandindo em uma velocidade maior que a capacidade dos setores de segurança manterem o controle sobre acessos e identidades – sobretudo quando eles já pagam o preço da falta de governança sobre acessos e identidades para humanos e principalmente não humanos.
A baixa visibilidade sobre identidades não humanas chega, segundo estimativa da Moor Insight & Strategy, a 75%. Isso inclui atividades realizadas com IA sem conhecimento do setor de segurança, como shadow AI ou semi-shadow-IA.
Forrester e Gartner asseveram o dado: o número de identidades não humanas tende a explodir e a ser muito superior do que as humanas. Não se trata de uma situação criada pela IA exclusivamente. As empresas já não adotavam, em sua maioria, governança para identidades não humanas. O trabalho agora ficou ainda mais difícil.
Comportamentos inesperados, alucinações e falta de transparência também fazem parte do rol de preocupações mais levantadas.
Porém, será que as demais áreas têm as mesmas preocupações?
CISOs e CEOs têm preocupações alinhadas quando ao uso de IA, mas ainda não falam a mesma língua
A resiliência cibernética já é vista como um diferencial competitivo pelos CEOs. Eles estão bem cientes de que as ameaças cibernéticas são ameaças ao negócio:
- 96% of CEOs veem a cibersegurança como essencial para o crescimento e a estabilidade, cita a Accenture
- 74% dos CEOs preocupam-se quanto à capacidade de minimizar danos de ataques.
Ainda de acordo com a Accenture, a realidade indica para uma falta de linguagem comum. A percepção dominante entre CEOs é a de que o custo da implantação de controles de segurança é maior do que o custo de um ciberataque. Ou seja, potencial custo para o negócio dos riscos cibernéticos é pouco percebido.
Outra visão que ainda predomina é a de tratar riscos de cibersegurança apenas a partir da ótica do compliance. Do ponto de vista executivo, cibersegurança não requer atenção contínua, e sim intervenção pontual.
Os CEOs ainda têm compreensão limitada sobre a conexão entre cibersegurança e negócio. Ao The CISO Report da Splunk, 85% CISOs declararam que esse é o maior obstáculo à colaboração.
Resultado: o aprendizado sobre a necessidade de construir resiliência cibernética costuma ser reativo, isto é, depois da organização experimentar um ataque. Uma abordagem sabidamente arriscada, dado o potencial de dano reputacional e financeiro.
Quais as condições para a reinvenção através da IA, mantendo a resiliência cibernética
Integrar cibersegurança a negócio
Os CISOs estão começando a pensar a segurança como viabilizador do negócio e a olhar para a estratégia de segurança a partir do apoio que ela pode proporcionar a áreas-chave como prevenção a fraudes, jurídico, governança, risco e compliance, recursos humanos e operações permite que os controles certos protejam os lugares certos.
Porém, eles também compreendem que não se pode esperar que as demais lideranças assimilem diretamente o valor da resiliência cibernética – é preciso demonstrá-la proativamente.
Ainda assim, esse reconhecimento não torna mais simples a tradução do valor do trabalho em segurança em linguagem de negócio.
Na base disso está uma narrativa data-driven que demonstra a função de segurança não como custo a ser justificado, mas como investimento essencial para a inovação, reputação e sustentação do negócio.
Quantificar o ROI do gasto com cibersegurança tem sido visto como a forma mais convincente de construir esse business case.
Porém, de acordo com o The CISO Report, 41% dos CISOs não conseguem calcular o ROI diretamente de suas atividades de mitigação de risco e resposta a incidentes. Os bem-sucedidos trabalham diretamente em colaboração com CFOs e outras unidades de negócio para metrificar esse indicador.
Mais do que demonstração do ROI, essa narrativa passa pelo alinhamento realista de expectativas sobre remediação de vulnerabilidades e outros objetivos de cibersegurança. Adotar uma abordagem priorizada de remediação de vulnerabilidades de acordo com criticidade para o negócio leva ao endereçamento cirúrgico das fraquezas que podem causar mais dano se exploradas. Mais do que quantidade, trata-se de provar a qualidade do trabalho.
Simplificar o stack de segurança
Ferramentas de segurança pontuais são um problemão. O stack médio de ferramentas é de 76 soluções, segundo a Accenture. É comum que elas não se integrem adequadamente nem proporcionem contexto a outras ferramentas de segurança (como SIEM). Isso significa menos visibilidade e mais custo.
Consolidar fornecedores e adotar ferramentas modernas integradas, como já falamos aqui, enquanto se aposenta o legado de ferramentas pontuais, permite a eliminação de redundâncias, simplificação de processos, compartilhamento de inteligência e otimização de investimentos.
Sem dúvida, essa é uma jornada trabalhosa, mas que diminui a dívida técnica e a complexidade – desde que bem-feita.
Informação sobre o negócio e clientes que seja acessível (seja por busca federada) e analisada para detectar anomalias, enriquecer alertas e investigar incidentes, em uma arquitetura de data fabric é uma abordagem recomendada.
Preocupações quanto à privacidade de dados consideradas, essa camada de dados compartilhados deve unificar e dar segurança à gestão de dados de diversas fontes, sem que eles sejam movidos ou duplicados, por exemplo, para mitigar o risco de exposição de informação sensível.
Essa unificação vai facilitar a automatização, assim como o uso da IA.
Escalar com IA, ML e automação
O potencial da IA nas mãos dos defensores é reconhecidamente gigantesco, ainda que nas mãos dos adversários também. A IA está diminuindo a barreira para desenvolver e conduzir um ataque cibernético, com ataques suficientemente bons para estressar e, por fim, colapsar o SOC.
Com uma estrutura enxuta, integrada e modernizada, a operação de segurança tem condições de aplicar recursos como automação e IA para atividades como identificação de comportamentos anômalos, enriquecimento de alertas, resposta a incidentes, red teaming e penetration tests etc.
Automação em cibersegurança é a tecnologia mais bem estabelecida para aumentar a produtividade e cujo investimento normalmente excede as expectativas.
Inteligência artificial é amplamente vista como um poderoso aliado da produtividade, sobretudo na filtragem de sinais em meio a ruído, identificação de ameaças críticas e gestão da informação – mas requer mais cuidado. Vazamentos de dados, shadow IA e alucinações seguem percebidos como os maiores riscos, levando à necessidade de incluir guardrails e vigilância contínua em torno da aplicação.
De acordo com dados do The CISO Report, uma estratégia madura de IA vai permitir olhar para além de métricas históricas, como MTTD e MTTR (respond), servindo para avaliar qualidade das detecções, escores de risco e compliance.
A visão sobre a IA agêntica pende entre entusiasmo e ceticismo, dadas as reais preocupações sobre a natureza autônoma da tecnologia, que englobam alucinações, baixa visibilidade para humanos, falta de confiabilidade e ética legal, comportamento imprevisível etc A adoção exige governança robusta, com supervisão humana constante.
O potencial percebido como mais promissor para a IA agêntica é no processamento de dados, correlação e velocidade de resposta.
Frameworks para segurança de aplicações de IA no ambiente corporativo
Todos são considerados eficazes para mapeamento e adição de soluções de IA/ML ao escopo de um programa de Gestão de Riscos Cibernéticos, auxiliando na compreensão dessas aplicações, abordagem de riscos, impactos e danos que podem ocorrer com o uso da tecnologia no contexto corporativo. Fonte: CSO Online |
Mantendo a resiliência cibernética e do negócio
CISOs e demais profissionais de cibersegurança estão observando os riscos e impactos da era da IA em seus ambientes digitais e precisam se preparar para avaliar as soluções de GenAI no mundo real em pleno voo, sustentando um ambiente onde há confiança e flexibilidade para inovar, se reinventar e, caso necessite, se recuperar.
Como vimos, a segurança é parte integrante da continuidade do negócio – embutida na própria base e integrada em cada camada. Sem essa colaboração, o núcleo digital da operação ficará vulnerável, sujeito a riscos e a uma postura reativa. Mais que isso: custará mais caro, expandirá desnecessariamente o já largo stack de segurança e gerará dívida técnica.
Além da colaboração, no aspecto tecnológico a unificação do stack tem sido vista como o pilar da fundação de dados e consolidação de processos que vão permitir o ganho de escala na operação de segurança.
Independentemente da tecnologia que você tenha no centro da sua operação de segurança, esses princípios norteadores guiarão a sua atuação, bem como demonstração do valor e colaboração com demais unidades de negócio.
