Engenheiro de TI afro-americano em data center

Por que os CISOs devem cultivar uma força de trabalho cibersegura na era da IA

A escalabilidade da IA nas empresas apresenta desafios de segurança, incluindo riscos de ataques cibernéticos e a necessidade de um melhor treinamento no uso responsável da IA.


Em resumo

    • As organizações que escalam as soluções de IA criam eficiência, mas levantam questões de segurança cibernética à medida que a equipe lida mal com dados confidenciais e é vítima de golpes baseados em IA.
    • Uma pesquisa da EY de 2024 destaca que 80% dos entrevistados se preocupam com o papel da IA nos ataques cibernéticos e 39% não confiam no uso responsável da IA.
    • Dos CISOs, 64% não estão satisfeitos com a adoção das melhores práticas de cibersegurança pela força de trabalho que não é de TI, ressaltando a necessidade de um melhor treinamento dos funcionários para reduzir os riscos.

    Depois de meses de experimentação, as organizações estão se movendo para implementar soluções de Inteligência Artificial (IA) em grande escala e o software corporativo que elas já usam para fluxos de trabalho diários também é cada vez mais alimentado por IA. Embora eles esperem colher dividendos em eficiência, produtividade e criatividade, para a função cibernética, essa transição exige uma navegação cuidadosa.

    As empresas já relataram desafios à medida que seus funcionários se precipitam na IA. A equipe incluiu propriedade intelectual (IP) confidencial em modelos externos de IA. Eles foram enganados por deepfakes baseados em IA, como aconteceu com o Diretor Financeiro (CFO) solicitando uma transferência de fundos relatada em Hong Kong 1. Quase 80% dos entrevistados da Pesquisa de Risco Humano na Cibersegurança da EY de 2024 (via EY.com US) expressaram preocupação com o uso da IA na realização de ataques cibernéticos e 39% disseram que não estavam confiantes de que sabiam como usar a IA com responsabilidade.

    A promessa da IA contemporânea é democratizar o acesso à análise avançada entre unidades de negócios e funcionários, muito além dos limites do departamento de TI. Mas isso só aumenta uma preocupação de longa data entre os profissionais cibernéticos sobre as práticas de segurança e a conscientização da força de trabalho. Cerca de 50% da literatura sobre o gerenciamento cibernético das organizações envolve treinamento e educação, constituindo o maior tópico nesse espaço. Além disso, 64% dos Diretores de Segurança da Informação (CISOs) entrevistados pela organização global EY não estão satisfeitos com a adoção das melhores práticas de cibersegurança por parte da força de trabalho que não é de TI. Como as organizações podem preparar melhor sua força de trabalho para os riscos cibernéticos decorrentes da adoção avançada da IA?

    Tecnologia mais segura; força de trabalho mais segura

    Interfaces fáceis de usar são uma marca registrada da IA contemporânea, oferecendo às equipes não técnicas a capacidade de realizar fluxos de trabalho de dados e análises mais avançados por meio de canais como consultas em linguagem natural. Mas essa simplicidade engana. Sob a superfície está a complexidade do software e da cadeia de suprimentos, sobre a qual muitas empresas não têm visibilidade, especialmente em soluções de segunda, terceira ou quarta parte. Os usuários precisam entender como os dados estão sendo usados, como no treinamento de modelos, bem como os riscos relacionados a violações e vazamentos de dados.

    A quantidade de dados corporativos canalizados para os chatbots pelos funcionários aumentou quase cinco vezes2 de março de 2023 a março de 2024, de acordo com um estudo com 3 milhões de trabalhadores. Entre os funcionários do setor de tecnologia,  27,4%  desses dados foram classificados como confidenciais, ante 10,7% no ano anterior. Isso coloca as organizações em maior risco de exfiltração de dados e de contornar controles e processos de segurança. As ameaças aumentam quando soluções de IA mais poderosas acessam mais dados, à medida que os desenvolvedores tentam aplicar a IA a conjuntos de dados que ainda não estão autorizados, classificados ou autenticados, amplificando quaisquer fraquezas nas práticas e protocolos existentes.

    As implicações de segurança cibernética do uso da IA na força de trabalho em geral acentuam uma preocupação de longa data entre os CISOs e suas equipes sobre a fraca adesão aos protocolos de segurança cibernética. De acordo com o estudo Global Cybersecurity Leadership Insights da EY 2023, 64% dos CISOs não estavam satisfeitos com a adoção das principais práticas de segurança cibernética por parte da força de trabalho que não é de TI. Entre os entrevistados, a fraca conformidade com as principais práticas estabelecidas fora do departamento de TI foi citada como o terceiro maior desafio interno de segurança cibernética e o erro humano continuou a ser identificado como um dos principais facilitadores de ataques cibernéticos.

    Segurança cibernética em toda a organização
    dos CISOs não ficaram satisfeitos com a adoção das melhores práticas de segurança cibernética por parte da força de trabalho que não é de TI

    As empresas lutam há muito tempo com o fenômeno da “TI paralela”, no qual as soluções de software são adotadas ad hoc e fora das estruturas de governança estabelecidas. A IA está piorando o problema, pois agora existem muitas ferramentas e soluções disponíveis para as equipes, com riscos potencialmente mais significativos de exposição a dados e IP, à medida que os funcionários fornecem informações mais confidenciais aos sistemas de IA, como detalhes confidenciais do cliente, código-fonte e materiais de pesquisa e desenvolvimento. Isso está ocorrendo em meio ao ritmo já frenético das iniciativas digitais, nas quais a função cibernética deve equilibrar cuidadosamente o fornecimento de seu suporte e experiência para permitir a transformação digital sem deixar a organização exposta.

    Também ocorre em um momento de crescente preocupação regulatória, à medida que os governos apreciam como as violações cibernéticas podem ricochetear na economia e impactar a infraestrutura crítica. Os órgãos reguladores estão aumentando as obrigações relacionadas à divulgação de incidentes de segurança cibernética, com os executivos se tornando pessoalmente responsáveis por falhas em alguns casos.


    Com a IA, surgem riscos potencialmente mais significativos de exposição a dados e IP, à medida que os funcionários fornecem informações mais confidenciais aos sistemas de IA, como detalhes confidenciais de clientes, código-fonte e materiais de pesquisa e desenvolvimento.


    Blindagem mais forte: uma abordagem tripla de tecnologia, governança e operações

    Dada a pressão competitiva sobre a adoção da IA, as organizações não devem permitir que a governança da cibersegurança se torne uma barreira ao progresso. Em vez disso, a função precisa de novas abordagens para apoiar a aceleração responsável.

     

    Para estimular uma força de trabalho cibersegura, a função precisa ter visibilidade sobre como as ferramentas de IA estão sendo usadas em toda a empresa, o que exige uma abordagem tripla centrada em tecnologia, governança e operações.

     

    No campo da tecnologia, as empresas de segurança e rede já estão desenvolvendo soluções que permitem que as equipes cibernéticas detectem quando determinados serviços de IA estão sendo usados, rastreando o fluxo e a linhagem de dados e automatizando a conformidade por meio de controles e testes comuns. Outros estão aproveitando dados que já estão na rede de uma organização para monitorar atividades, como documentos que estão sendo carregados ou solicitações usadas em uma função do ChatGPT. A IA também está cada vez mais incorporada nos processos de gerenciamento de incidentes. Mas a tecnologia é complementar a uma avaliação mais profunda do perfil de risco de uma empresa.

     

    A política de segurança cibernética deve se concentrar na modelagem de ameaças desde o início, incluindo um inventário de serviços de IA de terceiros e de quatro partes, desde a arquitetura e o próprio serviço até as integrações e APIs necessárias. A modelagem dessas ameaças de forma agregada permite que as organizações quantifiquem e identifiquem riscos e informe o design de controles apropriados. As organizações também precisam definir os procedimentos para garantir a proteção de dados e as provisões de privacidade no desenvolvimento de modelos de IA e serem responsáveis pelos resultados de seus algoritmos. Isso deve incluir não apenas os requisitos de conformidade, mas também considerações éticas.

    A avaliação de ameaças deve ser apoiada por um sistema operacional eficaz que possa evoluir para lidar com o que são essencialmente soluções e conjuntos de dados de IA “vivos”, garantindo verificação, classificação e escopo contínuos dos dados, incluindo a sensibilidade da marcação e a criticidade dos dados. Algumas empresas têm apenas 20% de seus dados marcados ou classificados, segundo nossa pesquisa. Realisticamente, as empresas devem priorizar a marcação e a verificação de seus dados mais críticos e confidenciais para garantir que tenham as salvaguardas certas para questões como identidade, gerenciamento de acesso, fluxo de dados, acesso a dados e linhagem.

    A modelagem e o acesso a ameaças são essenciais para implementar um modelo eficaz de governança de segurança cibernética, mas as organizações devem estar cientes do risco de cair em mecanismos de resposta antigos e ineficazes. Uma abordagem é colocar um especialista em IA no conselho de administração para uma rotação de seis meses com o poder de criar um novo modelo de governança, incluindo foco em educação e treinamento. A responsabilidade também é necessária para garantir que a responsabilidade pela governança da IA seja distribuída adequadamente, cobrindo custódia, propriedade e uso.

    Para a IA, uma força de trabalho informada cibernética para combater os erros dos funcionários

    Embora tentativas exóticas de hackeamento por IA, como solicitações falsas de transferência bancária de CFO, dominem as manchetes, o erro dos funcionários continua sendo a vulnerabilidade mais proeminente para a maioria das organizações. A IA e a cibersegurança são um novo vetor de ameaças, exigindo controles que impeçam que funcionários não autorizados adquiram intencionalmente ou não informações confidenciais às quais talvez não tenham tido acesso ou interação anteriormente. De fato, toda a promessa da IA é dar aos funcionários a chance de consultar e extrair valor de mais dados do que antes. Isso só pode ser fornecido se a orientação cibernética for igualmente fácil para eles obterem.

    Uma característica comum das empresas bem-sucedidas analisadas em nosso estudo Global Cybersecurity Leadership Insights de 2023, apelidado de “Criadores Seguros”, foi a integração da segurança cibernética a todos os níveis da organização, da diretoria executiva à força de trabalho em geral. Em geral, apenas metade dos líderes de segurança cibernética disseram que seu treinamento cibernético é eficaz. A própria IA pode oferecer abordagens de comunicação cibernética mais eficazes e dar aos funcionários o apoio que eles buscam?

    Chatbots mais sofisticados e intuitivos, por exemplo, poderiam aconselhar sobre perguntas de funcionários sobre dados confidenciais ou restritos, o que, por sua vez, reduziria o desgaste das equipes cibernéticas que atendiam às consultas e a frustração dos funcionários ao ler documentos políticos longos e complexos. A implementação de mecanismos de controle e a facilidade de consulta podem reduzir os riscos da TI paralela, como inserir dados confidenciais, IP ou material restrito em modelos de IA.


    A promessa da IA é dar aos funcionários a chance de extrair valor de mais dados do que antes. Isso só pode ser fornecido se a orientação cibernética for igualmente fácil para eles obterem.


    Quando apropriado, usar a gamificação do treinamento cibernético para melhorar a alfabetização digital para atrair a natureza competitiva das pessoas e envolvê-las em programas de aprendizado e treinamento baseados em recompensas pode melhorar o engajamento e o interesse. Isso é particularmente importante para comunicar os riscos dos modelos de IA que vão além das abordagens convencionais, como phishing por e-mail, como deepfake e mídia sintética. Essas soluções destacam as inúmeras maneiras positivas pelas quais a própria tecnologia pode ajudar a enfrentar os crescentes desafios de segurança cibernética.

     

    Diretores de dados, centros de excelência e padrões de design

    Para ter segurança cibernética na era da IA, não basta confiar em treinamento e tecnologia; o redesenho organizacional, novas linhas de relatórios e processos devem ser buscados para permitir níveis razoáveis de adoção e evitar que o risco cibernético seja resolvido na adoção caso a caso. Os protocolos de governança não devem se tornar um meio de congelar indevidamente a atividade da IA. Em vez disso, as empresas precisam ajustar e, às vezes, reimaginar as instituições e os relatórios de liderança para criar os incentivos e as estruturas certas. 

    Por exemplo, os diretores de dados (CDOs) tendem a se concentrar em aproveitar os dados para gerar valor comercial, com menos integração à função de tecnologia e uma interseção ainda mais fraca com a unidade cibernética e os CISOs. Isso precisa mudar na era da IA, quando uma lente de segurança cibernética é necessária durante o ciclo de vida do gerenciamento de dados, à medida que mais dados se tornam utilizáveis nos negócios. Os CDOs devem se concentrar mais na governança, qualidade e privacidade de dados, e agora é necessária uma gama mais ampla de habilidades na equipe executiva de segurança cibernética como um todo.

    Um desafio é que a amplitude de habilidades necessárias na função atual está se expandindo em várias direções ao mesmo tempo. Aqui, descrevemos alguns dos muitos perfis executivos de cibersegurança que surgiram nos últimos anos. Uma abordagem melhor é construir uma equipe que equilibre uma combinação de disciplinas amplas, com o entendimento de que cada uma tem seus próprios pontos fortes e fracos.

    Perfil executivo de cybersecurity

    Área de foco

    Pontos fortes

    Fraquezas

    Especialista em segurança

    Tudo sobre segurança

    Profunda experiência no assunto

    Falta de perspicácia nos negócios

    Defensor da tecnologia

    Ferramentas e soluções de tecnologia

    Orientado para tecnologia

    Pensamento isolado

    Profissionais regulatórios e de risco

    Risco, controles e conformidade

    Bom para setores altamente regulamentados

    Falta de perspicácia tecnológica

    Negócios com impacto

    Integração de negócios

    Conectividade comercial

    Falta de tecnologia e perspicácia de segurança

    Temporizadores e divisores de trabalho

    Dividido entre cybersecurity e outras funções principais

    Economia de custos

    “Faz de tudo um pouco, mas nada direito”

    No nível institucional, os Centros de Excelência (COEs) podem se tornar um requisito para coordenar a adoção da IA em todas as unidades de negócios e equipes. Eles têm um longo precedente no setor de tecnologia e estão se tornando mais comuns em setores conscientes de riscos, como serviços financeiros. Eles podem agilizar e simplificar os requisitos de governança, mitigando o fenômeno da TI paralela. A “padronização de design” pode incentivar ainda mais a IA segura e responsável, simplificando processos, arquiteturas e fluxos de dados para permitir uma implantação mais rápida com o mínimo, embora não zero, atrito.

    Principais conclusões para os CISOs:

    • A força de trabalho está preocupada com o risco cibernético na era da IA e precisa de maior apoio.
      As empresas mais ciberseguras alcançam um alto grau de integração em toda a empresa. A própria IA poderia melhorar a qualidade e a relevância do treinamento e do aconselhamento. Além disso, poderia tornar as políticas e procedimentos de segurança cibernética mais fáceis de entender e acessar, como por meio de chatbots intuitivos para consultar políticas cibernéticas ou aprendizado gamificado. Também pode apoiar o desenvolvimento de mecanismos de controle mais sofisticados, reduzindo o fenômeno da TI paralela. Os CISOs agora desempenharão um papel crucial no engajamento da liderança sênior antes que o risco paralelo da IA se torne incontrolável.
    • A modelagem e a avaliação de ameaças devem ser abrangentes e contínuas.
      Na era da IA, o cenário de ameaças está se ampliando para incluir os muitos serviços de IA de terceiros e de quatro partes na cadeia de suprimentos. As organizações devem identificar soluções e ativos de IA para entender as exposições a riscos e conformidade. As empresas precisam avaliar a arquitetura, os serviços e as integrações/APIs para quantificar e identificar riscos e orientar o desenvolvimento de controles para gerenciar o uso generalizado da IA. Eles também devem investir em uma classificação de dados robusta para garantir que os modelos de IA não acessem e processem dados restritos e propriedade intelectual confidencial. Essa modelagem precisa ser contínua, pois as soluções de IA visam continuamente conjuntos de dados novos e subutilizados.
    • Os Centros de Excelência podem fornecer supervisão estratégica e coordenação institucional para a implantação segura da IA.
      Os COEs podem desempenhar um papel importante na defesa da boa governança e das melhores práticas para organizações inclinadas à IA, inclusive por meio do compartilhamento de habilidades e do desenvolvimento de protocolos consistentes. Eles permitem governança e monitoramento centralizados e apoiam uma abordagem consistente para o uso da IA, oferecendo uma melhor contextualização dos casos de uso da IA e uma melhor compreensão dos ativos de dados corporativos. De forma mais ampla, as empresas devem considerar o redesenho organizacional, novas linhas de relatórios e processos adaptados para permitir níveis razoáveis de adoção sem que o risco cibernético se torne um problema a ser resolvido caso a caso.

    Sumário

    As organizações enfrentam maiores riscos cibernéticos com a integração da IA, exigindo uma abordagem multifacetada à segurança cibernética. O treinamento, a governança e as estratégias operacionais devem evoluir para lidar com as complexidades da IA, garantindo o uso responsável e a proteção robusta dos dados. Os centros de excelência emergem como fundamentais para orquestrar a adoção segura da IA e mitigar os fenômenos da TI paralela.

    Artigos relacionados

    Como a segurança cibernética pode se transformar para acelerar o valor da IA?

    Com o aumento da adoção da IA em todas as funções de negócios, os CISOs podem reposicionar a segurança cibernética de "departamento do não" para aceleradores do valor da IA. Saiba mais.

    2023 EY Global Third-Party Risk Management Survey

    The 2023 EY Global Third-Party Risk Management Survey highlights a growing demand for data-driven third-party risk assessment. Read more.

      Sobre este artigo

      Autores

      Responsáveis pelas contribuições para esta publicação