Os Custos Ocultos da IA Sombra: Por Que Controles de Acesso e Auditoria Importam Agora

Para profissionais de segurança, a IA é uma faca de dois gumes. Ela introduz novos vetores de risco, desde ameaças internas até riscos de terceiros e campanhas de phishing mais sofisticadas. Mas também aprimora as ferramentas usadas para identificar e conter incidentes. Talvez a coisa mais importante que você possa fazer para que essa espada corte na direção desejada seja entender quais ferramentas de IA existem em seu ambiente, quem as está usando e quais dados elas estão ingerindo.

Essa é a principal conclusão do Relatório de Custo de Violação de Dados de 2025 da IBM. Baseado em mais de três mil entrevistas com indivíduos de mais de seiscentas organizações, o Relatório revela um cenário do setor onde a maior divisão está entre empresas que têm visibilidade e controle sobre suas implementações de IA e aquelas que não têm.

Vamos começar com os pontos positivos. No último ano, o custo médio de uma violação de dados realmente diminuiu 9%, para cerca de US$ 4,4 milhões. Isso se deveu em grande parte a grandes reduções no tempo médio de intervenção (MTTI) e no tempo médio de contenção (MTTC). E a IA teve muito a ver com isso. O Relatório descobriu que organizações que fizeram uso extensivo de IA na área de segurança reduziram seu MTTI em cerca de 80 dias, economizando em média US$ 1,9 milhão.

Mas se olharmos para o outro lado da balança, encontramos a IA causando problemas, além de resolvê-los. Treze por cento, ou pouco mais de uma em cada oito organizações, disseram ter sofrido uma violação de dados relacionada à IA. Entre essas, 60 por cento tiveram seus dados comprometidos e 31 por cento sofreram interrupções operacionais.

A IA Sombra foi uma grande parte do problema. Vinte por cento das organizações relataram ter descoberto IA Sombra em seus ambientes. É provável que muitas outras estejam hospedando ferramentas de IA sem saber, e só descobrirão quando uma delas causar um incidente. E é claro que isso acontecerá, porque o relatório também constatou que 63% das organizações não possuem uma política de governança de IA implementada.

Isso não é sustentável. De acordo com Suja Viswesan, VP de Produtos de Segurança e Runtime da IBM, a IA vai amplificar o impacto de quaisquer lacunas nas defesas cibernéticas da sua organização. E devido ao rápido aumento dos riscos relacionados à IA, não são mais apenas as indústrias altamente regulamentadas que precisam manter uma postura rigorosa de segurança de dados. Todos precisam elevar o nível do seu jogo de segurança de dados, especialmente quando se trata de criptografia e gerenciamento de identidade e acesso (IAM).

Tudo começa com a descoberta. Você precisa descobrir as ferramentas de IA em geral no seu ambiente e precisa descobrir e classificar os dados que elas podem estar ingerindo. Sem essa etapa crucial, você está voando às cegas.

Mas você não pode parar por aí. Você precisa proteger o uso de IA, monitorando prompts e saídas em tempo real. E você precisa ser capaz de vincular ferramentas de IA e dados à identidade. O acesso humano a ferramentas de IA deve seguir o princípio do menor privilégio. Mas o acesso da IA a dados sensíveis também deve. Políticas tradicionais de IAM, como Controles de Acesso Baseados em Função (RBAC), podem não estar à altura do desafio de proteger Identidades Não Humanas (NHIs). Em vez disso, Controles de Acesso Baseados em Atributos (ABAC) e Análise Avançada de Comportamento de Usuários e Entidades (UEBA) podem ser necessários para policiar agentes de IA.

Aqui na Cyera, estamos comprometidos em criar um mundo onde a IA segura e confiável ajuda as empresas a crescerem, as comunidades a prosperarem e os indivíduos a perseguirem suas paixões com tranquilidade. A Cyera é a empresa de segurança de dados que mais cresce no mundo porque foi a primeira a resolver o problema de descobrir os dados das empresas com velocidade e escala, e classificá-los com precisão.

Não satisfeitos em simplesmente proteger dados em repouso, pegamos nosso design nativo de IA e o usamos para resolver DLP. Descobrindo e protegendo dados em trânsito com precisão incomparável, o Omni DLP da Cyera reduz drasticamente os falsos positivos, dando às equipes de segurança um alívio da fadiga de alertas e mais tempo para triar problemas que realmente importam.

Agora estamos elevando ainda mais o nível. Com o AI Guardian da Cyera, as empresas podem adotar ferramentas de IA com confiança - seja IA incorporada como o Microsoft Copilot, ferramentas de terceiros como o ChatGPT ou aplicativos de IA desenvolvidos internamente em plataformas como o Amazon Bedrock.

O AI Guardian consiste em dois produtos: AI Security Posture Management (AISPM) e AI Runtime Protection. O primeiro identifica todas as ferramentas de IA em seu ambiente, os dados que essas ferramentas estão acessando e quais identidades as estão usando. O segundo monitora o uso de IA e protege dados confidenciais em tempo real, bloqueando prompts abusivos e prevenindo vazamento de dados por meio de saídas de IA. Ele também registra interações de IA para ajudar equipes de segurança a investigar desvios de política, uso indevido ou alucinações.

O AI Guardian ajuda as organizações a resolver o problema da IA Sombra e garante que sua maturidade em IA acompanhe suas aspirações em IA. Para ver como a Cyera pode ajudá-lo a tirar a IA das sombras, agende uma demonstração hoje em cyera.com.