A inteligência artificial deixou de ser apenas uma promessa para se tornar uma força disruptiva – e perigosa – no funcionamento das organizações. E isso só deve crescer, com nove em cada dez companhias planejando investir mais em IA generativa nos próximos três anos, segundo um levantamento da consultoria McKinsey & Company.
Mas, ao mesmo tempo em que ajuda empresas, ela também é uma ferramenta para cibercriminosos, que conseguem acelerar a produção de ataques por meio de comandos simples.
Profissionais de segurança da informação se vêem, portanto, diante de um cenário inédito: ou correm para atualizar suas práticas ou são tomados pela enorme velocidade de novas ameaças.
Os ataques que fazem uso de inteligência artificial avançam muito mais rapidamente do que a jornada convencional de segurança da informação, que, por si, já é bastante desafiadora. Nesse contexto, quais medidas as organizações devem adotar para diminuir riscos? Uma das respostas é aderir a frameworks, um conjunto de boas práticas que organiza o que fazer para o uso de IA acontecer de forma consistente.
Hoje, já existem frameworks consagrados, como NIST CSF, ISO 27001 e CIS Controls. Eles ajudam organizações a gerenciar riscos, proteger dados e fortalecer segurança de forma estruturada.
Nos últimos anos, surgem normas específicas como NIST AI RMF e ISO/IEC 42001, que trazem consigo o conhecimento obtido com as diretrizes anteriores, mas levam em conta possibilidades trazidas pela inteligência artificial.
Esses frameworks ficam mais relevantes porque a qualidade do código criado por assistentes de IA evoluiu, o que os torna mais úteis para criar programas maliciosos.
Ataques de engenharia social também podem usar essas ferramentas para aplicar estratégias mais convincentes e induzir vítimas a ceder dados sigilosos sobre organizações
O dinamismo do mercado transformou o segmento de segurança ainda mais em um eterno perseguidor: empresas tentam reagir e cibercriminosos estão a dois, três passos à frente.
Junto com isso, é preciso se atentar às novas regulações. A União Europeia já aprovou o EU IA Act, lei que mantém direitos fundamentais de usuários e serve de inspiração para um projeto de lei brasileiro que pode definir limites na área.
Enquanto a regulamentação brasileira não entra em vigor, organizações devem ser mais proativas e definir suas próprias políticas internas para mitigar riscos que aumentam com a rápida adoção da inteligência artificial.
Frameworks e regulações são importantes, mas esperar que eles se estabeleçam pode ser arriscado. A vida real corre em ritmo frenético e não espera respostas concebidas a partir de discussões que pedem tempo. Padrões internos que definem, por exemplo, quais ferramentas a empresa vai usar e que tipo de dados podem ser inseridos neles, ajudam a proteger informações privadas e melhoram a experiência do cliente.
A régua a ser adotada é a de security by design, conceito de incorporar a segurança desde o início do desenvolvimento de sistemas, produtos ou processos, em vez de tratá-la apenas como complemento.
Em tempos de inteligência artificial sem freio, resguardar dados e pessoas deixou de ser tarefa exclusiva dos times de segurança. Agora, deve ser também um compromisso vital de toda a organização.
Paulo Kimura, Diretor de Segurança da Informação e Governança de TI da Blip.
Fonte: TI INSIDE Online - Leia mais
