- Estabelecer políticas internas de governança de IA, definindo como, onde, quando e por que a tecnologia pode ser usada e quais modelos de dados podem acessar.
- Ampliar o uso de IA para além da defesa, adotando visão mais ofensiva com exercícios como red-teaming para identificar e neutralizar ameaças antes que causem impacto.
- Criar um framework para medir o ROI do uso interno de IA, considerando ganhos quantitativos (tempo, dinheiro) e qualitativos (segurança).
- Implementar monitoramento contínuo do desempenho dos sistemas de IA internos e de conformidade com o cenário regulatório.
- Garantir que os colaboradores entendam usos aceitáveis de IA, saibam como reagir a comportamentos inesperados e dispor de visibilidade clara sobre os modelos em uso.
Os maiores riscos da AI não vêm apenas de invasões externas. Um estudo recente enfatiza que a ameaça mais grave pode emergir de dentro das organizações, quando colaboradores usam ferramentas de IA sem governança adequada. A EY apresenta recomendações estratégicas para CISOs enfrentarem esse desafio.
O relatório ressalta que IA capacita tanto equipes de defesa quanto criminosos. A ideia central é que ataques podem se tornarem mais fáceis e rápidos se não houver controles internos, políticas claras e supervisão constante sobre o uso de IA pelos empregados.
Especialistas destacam que, embora defensores usem IA para detectar e responder a ameaças, adversários também exploram as mesmas tecnologias para enganar. Com isso, a proteção requer governança rígida, monitoramento contínuo e planos de resposta bem definidos.
12 dicas para CISOs
- Primeiro, desenvolver políticas de governança interna de IA. Definir quando, onde, por que e quais dados podem ser usados.
- Expandir o leque de possibilidades com IA, adotando visão ofensiva para identificar e neutralizar ameaças antes que afetem sistemas.
- Construir uma métrica de ROI para o uso interno de IA, contemplando ganhos quantitativos e qualitativos.
- Implementar monitoramento contínuo do desempenho das IA internas e da conformidade regulatória.
- Esclarecer aos colaboradores quais usos são aceitáveis e como agir diante de comportamentos inesperados dos modelos.
- Visualizar o uso interno de IA com um painel acessível, mostrando modelos ativos, dados e requisitos de treinamento.
- Ampliar o portfólio de plataformas de IA, incluindo ferramentas autônomas de resposta e SIEM como soluções de referência.
- Mapear as fontes de dados usadas pelas IA internas e seus fluxos, considerando jurisdições distintas e leis de privacidade.
- Treinar funcionários para detectar golpes gerados por IA, como deepfakes e phishing.
- Realizar testes de estresse nas IA internas, com red team e autenticação multifator, incluindo a validação humana para tarefas sensíveis.
- Participar de eventos e comunidades técnicas para acompanhar evoluções em IA e cibersegurança.
- Observar o cenário geopolítico, monitorando controles de exportação de chips e impactos na cadeia de suprimentos de IA.
Entre na conversa da comunidade