Minimizando o impacto no mundo inexplorado da segurança de dados em IA
Você já ouviu isso antes. Não existe área do seu negócio que não envolva dados de alguma forma. Seja você o CISO de uma grande cidade no Nordeste responsável por fornecer infraestrutura crítica para seus cidadãos, o maior varejista do mundo tentando ter sucesso em um mercado de e-commerce saturado, ou uma empresa de saúde buscando soluções para o Alzheimer, os dados são a força vital de tudo.
Lembrei-me disso ao conversar com o CISO de uma grande empresa de entretenimento que desenvolve conteúdo para streaming para seus clientes — e compete com empresas como a Netflix. Ele disse que, se pudesse determinar a porcentagem da empresa que depende de dados, o valor seria imensurável.
O que ele realmente queria dizer era: diga-me quais dados devo priorizar e eu concentrarei meus esforços de segurança neles, em vez de tentar proteger tudo em excesso e correr o risco de frustrar meus funcionários. Afinal, é nos dados que se causa o maior dano. No entanto, apesar de ser o maior risco para a empresa, a maioria das equipes de segurança gasta uma quantidade desproporcional de tempo se concentrando em ferramentas de segurança auxiliares. Segurança de endpoints, controles de acesso em linha como o Security Service Edge — em vez de conhecer e proteger os dados. De fato, mais de 60% das organizações sentem que não possuem segurança adequada. visibilidade dos dados dentro do seu ambiente.
Seria como concentrar todos os seus esforços de segurança no carro-forte da Brinks, nos caixas eletrônicos do banco (os pontos de acesso) e na rota que esses carros-forte percorrem, mas não proteger o cofre do banco em si. Sim, haverá algum dinheiro nos carros-forte enquanto eles se deslocam entre as diversas agências ou lojas, sim, haverá alguns dólares nos caixas eletrônicos do banco e sim, é sempre bom garantir que a rota seja rápida e segura, mas é no cofre que estão as verdadeiras joias da coroa.
À medida que a IA se torna mais presente no ambiente de trabalho, surge um desafio sem precedentes para os responsáveis pela proteção de dados. A IA, que pode ser o segredo para a era de maior produtividade da empresa e que está na boca de todos os membros do conselho, também representa uma ameaça para a empresa, dada a falta de mecanismos de controle para governá-la.
Resolver esse desafio exige uma mentalidade diferente. Muitos líderes de segurança com quem converso tendem a direcionar a discussão sobre IA para garantir que dados confidenciais não vazem — e acabam voltando a questionar tecnologias como DLP (Todos sabemos o que as pessoas pensam sobre DLP). Sim, proteger dados roubados é fundamental, mas o DLP para IA ainda é apenas uma extensão natural da maneira como as coisas sempre foram feitas, e isso não é suficiente na era da IA.
Um desafio adicional, e potencialmente maior, é proteger o modelo de aprendizado de máquina (LLM) personalizado que sua equipe está criando contra a inserção maliciosa ou acidental de dados incorretos. Imagine uma empresa de saúde cujo LLM, projetado para o medicamento mais recente contra Alzheimer, começa a inserir dados incorretos. Ou utiliza acidentalmente informações pessoais identificáveis (PII) ou dados de clientes de ambientes de produção, testando os limites da conformidade com a IA. Isso também faz parte da nova fronteira da segurança da IA e explica por que as abordagens tradicionais não são suficientes.
Então, por onde começar? O principal problema que vejo é que a maioria dos líderes de segurança simplesmente desconhece seus dados. Ao longo do tempo, eles adotaram soluções de descoberta de dados isoladas, com capacidades que variam entre dados estruturados, não estruturados e semiestruturados. Essas soluções foram projetadas para ambientes locais e, muitas vezes, têm pouca ou nenhuma capacidade de lidar com SaaS, nuvem pública ou PaaS. Essa combinação tóxica dificulta a identificação dos dados mais valiosos que realmente existem em seus sistemas.
Como desconhecem seus próprios dados, não sabem quem tem acesso a eles nem como esses dados estão sendo usados. Isso dificulta estabelecer a conexão entre os usuários (indivíduos, grupos de usuários ou entidades não humanas) e quais deles têm acesso aos Copilotos de IA ou quais dados estão sendo utilizados pelo Sistema de Gestão de Aprendizagem por IA (LLM). A luta em torno do impacto da IA é muito, muito real.
Mas nem tudo está perdido. O que as organizações devem fazer é parar um instante, entender seus dados e, em seguida, implementar sua solução Copilot. Isso facilitará a vida a longo prazo. Por que digo isso? A maioria das equipes de segurança não percebe como os Copilots funcionam em relação às regras de acesso padrão. Ferramentas como Microsoft CoPilot, Google Gemini, Amazon SageMaker e Salesforce Einstein são apenas alguns exemplos incríveis do que será um copiloto para cada aplicativo. Mas, como muitas das grandes inovações do mundo, elas não foram projetadas com a segurança em mente.
É assim que todos eles funcionam:
- Os funcionários com acesso ao Copilot solicitam o LLM.
- Esse LLM tem acesso aos mesmos dados que os funcionários. Essas ferramentas são projetadas para serem abertas e não para confiança zero. Você precisa desativar o acesso.
- Se os controles de acesso adequados ainda não estiverem implementados, você acaba de sofrer sua primeira violação de segurança de IA.
É tão rápido e simples quanto isso.
Minimizar o raio da explosão - um guia de cinco etapas
Passo 1
Para se proteger contra isso, você precisa de uma solução que ajude a descobrir e classificar seus dados. Essas funcionalidades são encontradas em serviços de gerenciamento de postura de segurança de dados (DSPM). Se o fornecedor tiver uma maneira eficiente de usar IA para classificar seus dados, melhor ainda, pois você não precisará depender exclusivamente da classificação baseada em expressões regulares e poderá classificar dados com precisão até mesmo no nível de arquivo/objeto. Depois de classificar, você pode determinar a sensibilidade dos dados dentro do seu "cofre" de dados digitais. Lembre-se de que nem tudo em seu cofre tem o mesmo valor (lembre-se do exemplo do meu cliente acima).
Etapa 2
Em seguida, você precisa combinar as informações obtidas na descoberta com as informações sobre identidade. Costumo me referir a esse conceito como acesso a dados de confiança zero (ZTDA). Talvez eu tenha passado tempo demais na área de segurança, criando meus próprios acrônimos! No entanto, a ideia é determinar quem tem acesso aos seus dados sensíveis e, dentre essas pessoas, quem tem acesso ao seu Copiloto de IA — e determinar se isso faz sentido com base na sensibilidade dos próprios dados. Isso, então, orienta a próxima etapa.
Etapa 3
Ajuste os direitos de acesso em suas ferramentas de IA — isso lhe dará uma base de segurança de IA muito mais sólida!
Dica profissional: Pense nisso. Sua capacidade de melhorar a visibilidade dos dados existentes e sua sensibilidade permitiu que você se concentrasse e priorizasse — e minimizasse o potencial impacto de uma violação de segurança por IA.
Passo 4
Limpe seus dados. Melhore a higiene dos seus dados. Identificar e remover dados desnecessários Isso ajuda a reduzir ainda mais o seu raio de ataque. Aquele banco de dados foi abandonado em um armazenamento local após uma migração para a nuvem? Exclua-o. Vários backups dos mesmos dados? Exclua alguns deles. Menos dados significam menos superfície de ataque. Também significa menos custos (o líder de infraestrutura e o diretor financeiro da sua empresa vão adorar).
Etapa 5
Realize o monitoramento, a detecção e a resposta do seu ambiente de dados para garantir a vigilância contínua sobre seus dados.
No fim das contas, os líderes de segurança devem encarar a IA de forma positiva. Afinal, todo CISO tem a oportunidade de permitir que suas empresas adotem a IA, mas de uma maneira que também lhes permita proteger os dados armazenados em seu ambiente multicloud.
Assim como em qualquer trabalho, ter as ferramentas certas e um plano bem definido facilitará sua vida. Isso funcionará para aquele projeto de reforma que você vem adiando e também ajudará a minimizar o impacto da IA em sua vida.
Tudo começa por descobrir quais dados existem em seus cofres. Se sua empresa precisa de um copiloto de IA, você deve contatar um fornecedor de segurança de dados. Nós aqui da [nome da empresa] Cyera Terei todo o prazer em ajudar.


