Como fortalecer a Segurança Cibernética em IA: Um guia abrangente
Como fortalecer a Segurança Cibernética em IA: Um guia abrangente
A rápida evolução da IA surpreende atualmente a todos (inclusive especialistas), o que provoca discussões sobre seus benefícios, riscos e implicações para a segurança cibernética. Muitos líderes empresariais evitam criar estratégias formais de IA porque temem agir antes que as coisas estabilizem. No entanto, a IA já está presente e se expandindo em áreas como […]
A rápida evolução da IA surpreende atualmente a todos (inclusive especialistas), o que provoca discussões sobre seus benefícios, riscos e implicações para a segurança cibernética. Muitos líderes empresariais evitam criar estratégias formais de IA porque temem agir antes que as coisas estabilizem. No entanto, a IA já está presente e se expandindo em áreas como automação e criação de conteúdo. Devido a questões de segurança e precisão, algumas empresas, como Stack Overflow e grandes corporações (Samsung Electronics , Apple e JPMorgan Chase), por exemplo, limitaram ou proibiram o uso da IA. Para adotar a inteligência artificial de forma segura, os líderes devem estabelecer governança adequada e realizar análises de risco aprofundadas para conhecer os benefícios e os problemas da tecnologia.
A IA está pronta para impactar todos os setores, desde educação e entretenimento até análise de projetos industriais. Para maximizar seu valor e proteger a organização, os líderes devem:
a) Identificar os benefícios da IA.
b) Avaliar os riscos associados à inteligência artificial.
c) Adotar uma abordagem contínua de gerenciamento de riscos.
d) Implementar protocolos de segurança adequados para a IA.
Seguir essas etapas ajudará a equilibrar riscos e recompensas ao integrar ferramentas e processos baseados em inteligência artificial nas empresas.
Identificando o risco da inteligência artificial
Embora o risco associado à IA seja frequentemente visto como uma preocupação futura, abordá-lo proativamente é crucial para seu desenvolvimento seguro e responsável. O Dr. Geoffrey Hinton, comumente chamado de “padrinho” da IA, recentemente pediu demissão do Google com uma admissão formal de arrependimento sobre seu trabalho, chamando alguns dos perigos de “bastante assustadores”. Além disso, os riscos imediatos da IA incluem a ampliação de problemas existentes, como falhas na qualidade e integridade de dados, e vulnerabilidades a ataques cibernéticos, que podem rapidamente transformar riscos controlados em crises caóticas, afetando negativamente os negócios despreparados.
Adotando uma abordagem de gerenciamento de risco contínuo
Uma estrutura como a AI Risk Management Framework (AI RMF 1.0) do NIST, pode ajudar equipes novas a criar uma abordagem de avaliação contínua de risco da Inteligência Artificial. Embora seja saudável assumir algum risco, evitar totalmente o risco pode prejudicar os benefícios da tecnologia emergente. Para equilibrar o risco, siga três passos:
1) Determine os riscos gerais associados à inteligência artificial da empresa: Para mapear um cenário de risco personalizado, a liderança sênior e a equipe devem trabalhar em possíveis cenários de eventos de perda e seus impactos nos objetivos organizacionais. Use pesquisas, entrevistas, grupos focais e sessões de brainstorming para elucidar uma gama completa de insights.
2) Determine o desejo de risco da empresa: Cada risco deve ser avaliado e priorizado conforme os efeitos que podem ter e a probabilidade de ocorrer. Para facilitar isso, pode-se estabelecer um subcomitê de exploração de IA. Esse subcomitê seria responsável por relatar as descobertas e fazer recomendações sobre gestão de risco. O comitê deve determinar quais riscos se encaixam nos padrões da empresa e quais controles adicionais são necessários. Riscos de alto custo devem ser encontrados, e o apetite ao risco deve ser registrado e comunicado a toda a equipe para garantir que todos cumpram essas restrições.
3) Acompanhe e controle os riscos: Para monitorar e gerenciar os riscos de inteligência artificial, os líderes devem identificar seus efeitos, dar prioridade a eles de acordo com os objetivos de negócios e tomar medidas para mitigá-los. A equipe interdisciplinar deve liderar o processo. Isso inclui informar aos colaboradores sobre os riscos, priorizar as atividades, atribuir responsabilidades, abordar os riscos com novas medidas de segurança e definir a frequência de monitoramento. Após a implementação, a equipe deve avaliar a eficiência dos controles, identificar erros e avaliar regularmente novos riscos. Uma abordagem de risco contínuo, que testa suposições regularmente, é essencial para garantir a eficácia da IA à medida que a IA e os riscos evoluem.
Como construir um programa de segurança em IA?
Ter uma abordagem proativa é necessária, especialmente quando se trata de inteligência artificial. Após o gerenciamento de risco, as empresas precisam adotar políticas e controles de segurança para evitar possíveis exposições a riscos. Embora as empresas menores possam encontrar esses controles difíceis, a IA pode automatizar tarefas e processos e oferecer uma enorme vantagem de segurança. Essas empresas também podem trabalhar com parceiros de serviços gerenciados especializados em IA para aumentar sua segurança sem aumentar o número de colaboradores. Embora não abordem todas as futuras vulnerabilidades da IA e o futuro neste aspecto é uma variável, as práticas abaixo compartilhadas fornecem uma base sólida para proteção focadas na utilização de IA internamente nas empresas.
Definir políticas para uso aceitável: Atualmente, muitas atividades como apresentações, criação de relatórios ou análise de modelos de vendas. Isso pode causar preocupações como compartilhamento de dados confidenciais e acesso indevido a informações sigilosas. As empresas devem garantir que o uso da IA seja ético e seguro, e evitar discriminação. A política deve ser ajustada para atender a regulamentos externos. Além disso, o treinamento dos colaboradores sobre o uso adequado da IA e a implementação de processos de aprovação e revisão é crucial para reduzir riscos e evitar ameaças internas.
Definir liderança de inteligência artificial: É crucial a nomeação de um líder ou departamento que administre IA. Esta liderança de IA deve trabalhar com um grupo diversificado de partes interessadas, incluindo segurança cibernética, privacidade de dados, jurídico, aquisição, riscos e auditoria. Dado o rápido avanço do uso de IA, as empresas devem documentar seu histórico de uso para rastrear erros e oportunidades, o que ajudará a garantir decisões transparentes e explicáveis. Assim como inventariar os usos de IA para maior controle.
Criar programa de segurança da informação: A fim de proteger a empresa, os CISOs e suas equipes de segurança devem ajustar os programas cibernéticos atuais e implementar novas práticas de segurança baseadas em inteligência artificial em toda a organização, como segurança por design. Antes de investir em estratégias de IA, esse processo deve começar o mais rápido possível.
As empresas podem implementar controles sobre o uso da IA usando o trabalho de avaliação de risco anterior. Isso os protegerá de incidentes de segurança imprevistos em outras organizações menos preparadas.
O retrabalho ou o redesenho dispendioso de soluções tecnológicas pode ser reduzido garantindo que as considerações de risco relacionadas à IA e as soluções de segurança não sejam deixadas para depois.
Auditorias, conformidades e rastreio: As empresas precisarão de melhores recursos de auditoria e rastreabilidade em torno do modelo de IA para entender de onde uma ferramenta de IA está extraindo seus dados e como ela chega às suas decisões. De onde vieram os dados de origem? Esses dados foram manipulados pela IA ou pelo humano interagindo com eles? Como garantir a informação produzida pela entidade (IPE)? Quais decisões a IA gerou para chegar ao resultado? O viés sistêmico é um fator? Essas perguntas são essenciais na avaliação da confiabilidade das ferramentas de inteligência artificial. A necessidade de ferramentas de IA mais confiáveis pode se tornar um fator competitivo entre os modelos de inteligência artificial, com plataformas oferecendo transparência sobre como seu modelo toma decisões.
Auditoria continua: A IA é uma ferramenta complexa e em constante evolução, extraída de várias fontes de dados. Devido à sua natureza iterativa, plataformas de IA são suscetíveis a atualizações, hacks e infiltrações, como evidenciado pela violação de dados confirmada pela OpenAI em maio de 2023 (6). Além disso, pesquisadores e amadores têm criado métodos para contornar as regras da IA, produzindo conteúdo indesejado ou inserindo malware. Portanto, é crucial validar constantemente a saída da IA e desenvolver mecanismos para avaliar e aprovar o trabalho gerado pela tecnologia.
Atualmente, não há uma estrutura ou metodologia padronizada para auditoria de IA, o que leva a inconsistências nas abordagens e dificuldades no desempenho de benchmarking. Porém, avaliando controles de estruturas e padrões de segurança bem estabelecidos como, o National Institute of Standards and Technology (NIST) 800-531, a International Organization for Standardization/International Electrotechnical Commission (ISO/IEC) 27001.2. Assim como, consultando diretrizes específicas de IA existentes como European Union Artificial Intelligence (EU AI), temos algumas famílias de controles que podem ser criados, executados e monitorados, como:
- Mitigação de viés de IA e Justiça;
- Privacidade e Direitos de Dados de inteligência artificial;
- Gerenciamento do Ciclo de Vida de IA;
- Governança do Modelo de IA;
- Operações de inteligência artificial;
- Responsabilidade e Ética e governança de IA;
- Experiência e interação entre Humano-IA;
- Gerenciamento de Identidade e Acesso;
- Casos de Uso Legais, Regulatórios e Proibidos por inteligência artificial.
Em conclusão, adotar a inteligência artificial de forma segura exige uma abordagem robusta de gerenciamento de riscos, políticas claras de uso e controles de segurança cibernética. As empresas que investem em governança sólida, mitigação de riscos e auditorias contínuas estarão mais preparadas para aproveitar os benefícios, sem comprometer a segurança e a conformidade. A rápida evolução dessa tecnologia demanda uma atenção constante aos seus impactos, garantindo que a inovação ande de mãos dadas com a proteção dos dados e a integridade dos processos.
Por: Ricardo Bortolotto, gerente Sênior de Conformidade de TI e SAM com 13+ anos de experiência, incluindo passagem por ‘Big 4’. Lidera equipes multidisciplinares em auditorias, riscos, controles e conformidade. Colunista no portal Itshow.
Nenhum comentário:
Postar um comentário