A nova lei exige que os sistemas de IA sejam transparentes, explicáveis e compreensíveis.
A Lei de IA da UE é a primeira regulamentação da União Europeia que estabelece um quadro regulatório e legal comum para a IA (Inteligência Artificial). Ela foi adotada em março de 2024 e será totalmente aplicável em 24 meses, entrando em vigor gradualmente até lá.
Mas quais medidas as empresas devem tomar para se adequar à nova regulamentação?
Primeiramente, vamos analisar por que a Lei é inovadora. Globalmente, este é o primeiro quadro regulatório a abordar o desenvolvimento, implantação e uso de IA em diversos setores. Ele utiliza uma abordagem baseada em risco para o acesso aos sistemas de IA, de modo que os requisitos de conformidade são ajustados de acordo com o impacto potencial na segurança e nos direitos fundamentais. A Lei exige que os sistemas de IA sejam transparentes, explicáveis e compreensíveis, responsabilizando as organizações que os desenvolvem pelos resultados.
Com o tempo, muitos acreditam que essa regulamentação irá fortalecer a confiança do público nos sistemas de IA.
Comparação de Regulamentações na UE, EUA e Reino Unido
Ao comparar a Lei de IA da UE com as abordagens adotadas nos EUA e no Reino Unido, há diferenças claras.
Nos EUA, a regulamentação é fragmentada, com diretrizes específicas para alguns setores, mas sem uma regulamentação federal abrangente sobre IA, como ocorre na UE. Os EUA desenvolveram estruturas e padrões por meio do Instituto Nacional de Padrões e Tecnologia (NIST), mas estes são não vinculantes. Dessa forma, há uma maior dependência da autorregulação da indústria para desenvolver uma IA ética.
A abordagem do Reino Unido é semelhante à dos EUA, com estruturas e princípios não vinculantes para o desenvolvimento de IA ética, em vez de regulamentação formal. Diante disso, a Lei de IA da UE poderia servir como um modelo para que outros países ou jurisdições desenvolvam suas abordagens/estruturas de regulamentação, dada a abordagem abrangente e estruturada da Lei.
À medida que a prevalência da IA continua a crescer, é provável que a regulamentação também evolua. Estabelecer diretrizes para que as organizações desenvolvam IA de maneira segura ajudará a aumentar a confiança do público, a adoção e a inovação, de modo que a regulamentação deve ser vista como algo positivo e como um caminho para fomentar a inovação.
O que as organizações podem fazer para se preparar para a Lei de IA da UE?
Primeiramente, as organizações devem avaliar onde estão adotando IA e realizar uma avaliação de riscos em conformidade com os níveis de risco previstos na Lei de IA da UE. Isso ajudará a medir os impactos futuros de forma antecipada e ajustar o desenvolvimento conforme necessário.
Em segundo lugar, elas devem garantir a responsabilidade em nível executivo e em toda a organização sobre os casos de uso que estão sendo desenvolvidos e o propósito de cada um, verificando se o desenvolvimento do sistema e os conjuntos de dados usados para treinamento estão alinhados a esse propósito.
Terceiro, à medida que os sistemas de IA forem criados, a equipe de desenvolvimento deve garantir que os algoritmos sejam bem documentados, de modo que sejam explicáveis e transparentes.
Devem também garantir que os conjuntos de dados utilizados no desenvolvimento dos algoritmos sejam adequados ao propósito, que os dados sejam justos e que quaisquer resultados dos sistemas de IA respeitem os direitos fundamentais.
Uma vez desenvolvido, o sistema de IA precisará ser monitorado regularmente para garantir que não surjam novos riscos ou problemas. Além disso, as organizações devem investir em treinamento sobre alfabetização em dados e IA para que todos os colaboradores compreendam os riscos éticos ou problemas relacionados.
Por fim, as organizações devem interagir com seus reguladores, colaborando em fóruns e grupos de trabalho, ajudando a moldar iniciativas nesse campo. Isso ajudará tanto as organizações quanto os reguladores a se prepararem para o futuro.
E no Brasil? Expectativas sobre o Marco Legal da IA
“No Brasil, o Marco Legal da Inteligência Artificial está sendo discutido no Congresso Nacional, com a intenção de criar um sistema regulatório que aborde o uso da IA em diferentes setores da economia. Inspirado em modelos internacionais, como o da União Europeia, o texto preliminar do projeto de lei – PL 2338/2023, regular potenciais impactos sobre a segurança e os direitos fundamentais. O projeto prevê a criação de uma autoridade competente para monitorar e regular a implementação da IA (potencialmente a ANPD), e a expectativa é que possa criar diretrizes mais claras para o desenvolvimento responsável da IA no Brasil, contribuindo para o avanço tecnológico com segurança jurídica e proteção de direitos e dados pessoais.” André Cilurzo – Diretor Executivo de Technology Risk Consulting na Protiviti Brasil.
Conteúdo original de Michelle Moody, Managing Director de Data & Analytics da Protiviti Inc., traduzido e adaptado por André Cilurzo. Originalmente publicado em AI Business.
Para abordar as tendências atuais em cibersegurança, é essencial compreender o panorama dinâmico e em constante evolução das ameaças cibernéticas. Nesse artigo, conheça as tendências mais recentes identificadas por pesquisas especializadas, destacando os desafios emergentes e as estratégias inovadoras adotadas para proteger sistemas e dados contra ameaças cada vez mais sofisticadas.
Cibersegurança: panorama atual
A cibersegurança tornou-se uma prioridade crucial para organizações de todos os setores, devido ao aumento significativo de incidentes cibernéticos e à crescente sofisticação dos ataques. Conforme indicado pela IBM Security, o custo médio global de uma violação de dados em 2023 foi de aproximadamente 4,24 milhões de dólares, demonstrando o impacto financeiro substancial que esses eventos podem ter.
Evolução das ameaças cibernéticas
As ameaças cibernéticas estão se tornando mais diversificadas e complexas, adaptando-se rapidamente às novas tecnologias e vulnerabilidades emergentes. Um estudo da McAfee observa um aumento alarmante no número de ransomwares direcionados a grandes corporações e infraestruturas críticas, refletindo uma tendência preocupante de ataques direcionados e sofisticados. Além disso, ataques de phishing continuam sendo uma ameaça significativa, com hackers aproveitando técnicas avançadas de engenharia social para enganar usuários e obter acesso não autorizado a sistemas corporativos.
Desafios emergentes em cibersegurança
Com o advento da Internet das Coisas (IoT) e a proliferação de dispositivos conectados, surgem novos desafios em termos de segurança cibernética. Dispositivos IoT frequentemente carecem de padrões de segurança robustos, tornando-se alvos fáceis para invasores que buscam explorar vulnerabilidades e comprometer redes corporativas. De acordo com o relatório da Trend Micro, ataques a dispositivos IoT aumentaram em 300% nos últimos dois anos, sublinhando a necessidade urgente de estratégias de segurança adaptativas.
Tendências Emergentes em Cibersegurança
A utilização de inteligência artificial (IA) e machine learning (ML) está se tornando fundamental na detecção proativa de ameaças cibernéticas. Soluções baseadas em IA podem analisar grandes volumes de dados em tempo real, identificando padrões anômalos e comportamentos suspeitos que podem indicar potenciais ataques. De acordo com a Gartner, até 75% das organizações utilizarão ferramentas de detecção de ameaças baseadas em IA até 2024.
A arquitetura de Zero Trust está ganhando popularidade como uma abordagem de segurança que desafia o modelo tradicional de perímetro de rede. Em vez de confiar automaticamente em usuários e dispositivos dentro da rede corporativa, o Zero Trust requer verificações contínuas de identidade e autorização para acessar recursos, independentemente da localização do usuário. Segundo o Forrester Research, a implementação de Zero Trust pode reduzir em até 30% o impacto de violações de dados.
Com a adoção crescente de serviços em nuvem, a segurança na nuvem tornou-se uma prioridade crítica. Soluções de segurança em nuvem oferecem proteção avançada contra ameaças cibernéticas, garantindo a integridade e a confidencialidade dos dados armazenados e processados na nuvem. De acordo com a Microsoft, investimentos em segurança em nuvem estão aumentando exponencialmente, com empresas priorizando soluções que ofereçam visibilidade e controle abrangentes sobre suas cargas de trabalho na nuvem.
Estratégias de resposta e mitigação
Diante dessas tendências e desafios em cibersegurança, as organizações estão adotando abordagens multifacetadas para proteger seus ativos digitais e mitigar o impacto de possíveis violações. Isso inclui a implementação de políticas rigorosas de segurança da informação, a realização regular de testes de penetração e vulnerabilidade, e a formação contínua dos colaboradores em práticas seguras de navegação e uso de tecnologia.
Exemplo de implementação prática
Um exemplo de implementação prática pode ser observado em uma empresa de tecnologia líder que adotou uma abordagem de segurança em camadas para proteger sua infraestrutura crítica. A empresa utilizou ferramentas avançadas de detecção de ameaças baseadas em IA para monitorar continuamente o tráfego de rede e identificar atividades suspeitas. Além disso, implementou políticas de Zero Trust para restringir o acesso a dados sensíveis apenas a usuários autorizados, independentemente de sua localização física. Essas medidas ajudaram a empresa a mitigar riscos significativos e manter a integridade de seus sistemas em face de ameaças crescentes.
Conclusão
Em suma, as tendências em cibersegurança estão evoluindo rapidamente à medida que novas tecnologias emergem e as ameaças cibernéticas se tornam mais sofisticadas. Adotar abordagens inovadoras, como inteligência artificial, arquitetura de Zero Trust e segurança em nuvem, tornou-se imperativo para proteger organizações contra violações de dados e interrupções de operações. Ao implementar estratégias eficazes de cibersegurança e manter-se atualizado com as últimas pesquisas e práticas recomendadas, as organizações podem mitigar riscos, garantir a conformidade regulatória e fortalecer sua postura de segurança digital.
Por Matheus Jacyntho, Diretor de Cibersegurança e Resiliência na Protiviti Brasil, e Cíntia Soares, Market Sector Leader l Senior Manager – Business Performance & Transformation.
De assistentes digitais pessoais a veículos autônomos, a Inteligência Artificial (IA) está revolucionando a forma como interagimos com a tecnologia e uns com os outros. Nesse cenário, o Microsoft Copilot e o ChatGPT da Open AI estão na vanguarda, aproveitando tecnologias transformadoras como Generative Pretrained Transformers (GPT) e Large Language Models (LLM). Essas ferramentas avançadas aproveitam o processamento de linguagem natural para entender e gerar respostas semelhantes às humanas a partir de grandes quantidades de dados, executando uma ampla gama de tarefas, como análise de sentimentos, resposta a perguntas, resumo e geração de imagens e textos. À medida que continuamos a explorar as fronteiras na inovação da IA, as tendências sugerem um futuro cada vez mais guiado por essas plataformas poderosas que não apenas aprimoram nossas habilidades, mas também moldam um futuro em que a influência da IA irá permear todos os aspectos de nossas vidas.
IA e LLMs oferecem benefícios importante para empresas que desejam aproveitar o poder da linguagem natural para seus negócios. Essas ferramentas podem ajudar as empresas a aperfeiçoarem seu atendimento ao cliente, aumentar a produtividade, otimizar processos, gerar insights e agregar valor aos negócios. No entanto, IA e LLMs também representam desafios significativos para empresas que desejam usá-los de forma eficaz e responsável.
Isso porque elas exigem muitos dados, poder de computação e experiência para treinar, implantar e manter. Tanto a IA quanto os LLMs também levantam questões sobre questões éticas, legais e sociais, como privacidade de dados, segurança, preconceito, justiça, responsabilidade e transparência. É importante observar que os LLMs não são necessariamente treinados para precisão: em vez disso, eles são treinados para fornecer a próxima melhor resposta de conversação a uma consulta. A quantidade de dados que precisam ser gerenciados e governados está crescendo exponencialmente e, com o início da IA generativa, a geração de novos dados não estruturados está impactando significativamente a como os dados são registrados, descobertos, protegidos, monitorados, auditados e principalmente terem sua veracidade confirmada.
Governança e gestão dos ativos de IA
O Microsoft Purview é o conjunto de soluções de segurança de dados da Microsoft que fornece um único local para descobrir, proteger e gerenciar dados em todo o ambiente corporativo para privacidade de dados, conformidade regulatória e segurança cibernética. Esta ferramenta permite que os usuários descubram, protejam e monitorem prompts e respostas, usando dados de IA generativa em ferramentas internas e externas.
Essas soluções são essenciais para que a IA opere de maneira gerenciada e controlada, mas também são relevantes para as empresas que estão adotando rapidamente a tecnologia sem os devidos controles de uso, compartilhamento e exportação de dados. A Microsoft anunciou recentemente o Microsoft AI Hub, que aproveita os recursos do MS Purview para identificar, proteger e gerenciar o uso de IA de uma organização em um único dashboard de indicadores.
Entre os principais recursos do MS Purview AI Hub estão a capacidade de inventariar atividades de IA generativa, incluindo o uso de dados confidenciais em uma ampla variedade de aplicativos e sites. A ferramenta permite proteger as interações do Copilot impedindo o acesso não autorizado confidencial de dados confidenciais e, mais especificamente, o Hub de IA do MS Purview pode monitorar, alertar ou até mesmo impedir que os usuários enviem informações confidenciais para sites de IA generativa. Além disso, ele também permite detectar e mitigar riscos de negócios e violações regulatórias enquanto o uso do AI Hub generativo no Purview, que permite a análise de riscos e impacto do uso de algoritmos de IA, ajuda os usuários a superarem esses desafios de e maximizar os benefícios de sua utilização nas empresas.
O Hub de IA do Microsoft Purview e as políticas que ele monitora estejam vinculadas ao DLP, exigindo que os dispositivos sejam integrados a esta plataforma. O AI Hub disponibiliza políticas integradas que podem ser ativadas e personalizadas para definir o escopo para usuários/grupos específicos e adaptá-las aos requisitos organizacionais. As políticas internas incluem:
Descoberta de prompts confidenciais em assistentes de IA;
Detectação quando os usuários acessam o navegador da Web para utilizar outros assistentes de IA;
Habilitação da proteção em assistentes de IA por meio da integração com o Gerenciamento de Riscos Internos do Microsoft Purview.
Os administradores e as equipes de proteção de dados também podem usar o Gerenciador de Atividades do Microsoft Purview para monitorar as interações de IA dos usuários e ser alertados quando uma regra DLP corresponder à interação de um usuário com um site de IA generativa. As principais preocupações dos líderes de segurança incluem riscos éticos, legais e regulatórios da utilização da IA.
À medida que as organizações aumentam a adoção de recursos de IA, regulamentações adicionais serão promulgadas para apoiar a utilização responsável e, ao mesmo tempo, proteger dados pessoais confidenciais. Embora o AI Act Europeu, juntamente com as estruturas com o NIST AI e a ISO 42.001, forneçam orientação para adoção, identificação e mitigação de riscos, é fundamental desenvolver uma estrutura de governança para IA que considere as implicações em seu modelo de negócios e do funcionamento de segmento de atuação.
Microsoft Purview: suporte à AI
Para assegurar a integração entre o monitoramento proativo e a necessidade de governança de IA, os novos modelos de IA Premium do Microsoft Purview Compliance Manager oferecem uma solução estratégica para gerenciar e relatar o risco de conformidade de IA, garantindo que utilização ética e legal da IA esteja alinhada com os padrões organizacionais e os regulamentos futuros. O Gerenciador de Conformidade do Microsoft Purview dá suporte à conformidade de IA por meio de quatro novos modelos de IA Premium para ajudar a avaliar, gerenciar e relatar os riscos de conformidade de IA. Esses modelos identificam as melhores práticas, monitoram as interações de IA, evitam o compartilhamento inadequado de dados confidenciais em aplicativos de IA e gerenciam políticas de retenção e exclusão para interações de IA. O Gerenciador de Conformidade inclui monitoramento em tempo real em aplicativos Multicloud e Software as a Service (SaaS), podendo ser revisado como parte de um programa completo de governança de IA.
O Copilot para Microsoft 365 permite otimizar o acesso a dados não estruturados em toda a organização, visto que a implantação e a utilização exigem acesso a dados atuais e relevantes. No entanto, a maioria das organizações têm dificuldades em evitar a proliferação, o gerenciamento e a proteção de dados. À medida que as organizações avançam para adotar a IA, o foco crítico deve ser aplicado para garantir um forte gerenciamento de dados em toda a empresa. Isso inclui a remoção de dados obsoletos e desatualizados, a proteção de dados críticos e confidenciais e a identificação proativa do uso inadequado.
Os recursos de Gerenciamento de Registros e Ciclo de Vida de Dados do Microsoft Purview permitem que as organizações descartem de forma defensável os dados que não são mais necessários. Ao aproveitar políticas e rótulos nessas ferramentas, as organizações podem permanecer em conformidade com os regulamentos de retenção de dados, reduzir sua superfície de ataque descartando dados que não são mais necessários e permitir que o Copilot para Microsoft 365 acesse as informações mais relevantes e atualizadas para fornecer as respostas mais relevantes e úteis.
O Microsoft Purview eDiscovery Premium permite que as equipes jurídicas e de descoberta eletrônica descubram quais tipos de informações os usuários estão inserindo nos prompts do Copilot para Microsoft 365 e quais tipos de respostas estão recebendo. Esse é um recurso essencial ao investigar o possível uso mal-intencionado de IA em organizações ou realizar avaliações de conformidade sobre como as informações estão sendo compartilhadas por meio da IA generativa.
O AI Hub no Purview, juntamente com os recursos de proteção de dados do Purview, fornece uma nova maneira de gerenciar ativos de IA com responsabilidade, com foco na segurança e na conformidade.
–
Baseado no artigo original escrito por: Patrick Anderson, MD Protiviti; Patrick Anderson, MD Security & Privacy; Antonio Maio, MD Microsoft.
A adoção da Inteligência Artificial (IA) nas organizações está em franco crescimento, impulsionada pelas promessas de aumento de eficiência, melhoria na tomada de decisão e inovação nos serviços oferecidos. No entanto, essa tecnologia também traz consigo uma série de riscos que precisam ser identificados e gerenciados adequadamente para garantir que os benefícios sejam plenamente aproveitados enquanto os potenciais impactos negativos são mitigados. Este artigo tem como objetivo explorar de maneira detalhada a avaliação de riscos associados ao uso da IA nas organizações, fornecendo uma estrutura compreensiva para a identificação e categorização desses riscos.
IA nas Organizações: Identificação e Avaliação de Riscos
A primeira etapa na avaliação de riscos é a identificação clara do propósito das iniciativas de IA e dos modelos que serão utilizados. A IA pode ser aplicada de diversas formas, tanto internamente, para melhorar processos organizacionais, quanto externamente, para melhorar a interação com clientes e partes interessadas.
Uso Interno da Organização
Acelerar a Tomada de Decisão: Utilização de IA para analisar grandes volumes de dados e fornecer insights rápidos e precisos.
Aumentar a Eficiência das Atividades: Automatização de tarefas rotineiras, permitindo que os colaboradores se concentrem em atividades de maior valor agregado.
Disseminar e Facilitar o Acesso à Informação: Implementação de sistemas de IA para organizar e disponibilizar informações de forma mais eficiente e acessível.
Uso Externo para Clientes e Partes Interessadas
Atendimento ao Cliente: Implementação de chatbots e assistentes virtuais para melhorar a experiência do cliente.
Ouvidoria: Utilização de IA para analisar feedbacks e sugestões, identificando padrões e áreas de melhoria.
Publicidade e Marketing: Personalização de campanhas publicitárias com base em análises de comportamento e preferências dos consumidores.
Identificação dos Objetivos e Contexto de Uso para os Modelos de IA
Para uma avaliação eficaz de riscos, é fundamental entender o contexto de uso e os objetivos específicos dos modelos de IA implementados. A criação e operação da IA envolvem várias etapas críticas, incluindo:
Seleção de Dados e Ingestão: Escolha criteriosa dos dados utilizados para treinar os modelos de IA.
Classificação e Eliminação de Dados: Processamento e limpeza dos dados para garantir qualidade e relevância.
Indexação e Vetorização: Organização dos dados de maneira que possam ser eficientemente utilizados pelos modelos de IA.
Integração com LLMs de Mercado: Uso de modelos de linguagem pré-existentes, considerando a viabilidade e eficiência em comparação com o desenvolvimento de modelos próprios.
Conexão com Endpoints: Integração dos modelos de IA com os sistemas e aplicações existentes na organização.
As etapas constituem a cadeia de valor da criação e operação da IA. Endereçar os riscos nas etapas da cadeia é um facilitador para definir os responsáveis por atuar no tratamento deles.
Identificação dos Riscos
A identificação dos riscos envolve a análise de várias categorias de riscos e eventos específicos que podem impactar a organização:
Categorias de Risco
As categorias de risco referem-se aos conjuntos temáticos de risco que englobam diferentes tipos de ameaças e vulnerabilidades relacionadas ao uso de IA nas organizações. Essas categorias ajudam a estruturar e organizar os riscos de maneira a facilitar a sua identificação, avaliação e gerenciamento. No contexto de IA, as principais categorias de risco incluem:
Riscos Técnicos[DM1] [Rd2] : Incluem falhas nos algoritmos, problemas de segurança, questões de qualidade ou precisão, dificuldade de auditoria e vieses nos modelos.
Riscos Operacionais: Abrangem problemas de integração, custos para escalar as soluções, dependência excessiva da tecnologia, falta de capacitação e resistências internas.
Riscos Legais e Regulatórios: Referem-se à conformidade com a legislação aplicável e o uso ético da IA.
Riscos de Pessoas: a empresa pode não ter pessoas capacitadas com as habilidades necessárias para fazer o uso das inovações, como a IA
Categorias de risco
As categorias de risco são agrupamentos de eventos de risco que refletem grandes áreas de preocupação dentro das categorias de risco. Eles representam os temas mais amplos e críticos que podem impactar a organização de forma significativa e facilitam a definição dos donos dos riscos, ou seja, aqueles que devem se apropriar do risco e tomar ações para trata-lo. No contexto de IA, as principais categorias incluem:
Segurança da IA: Abrange todos os aspectos relacionados à proteção dos sistemas de IA contra ataques cibernéticos, vulnerabilidades e outras ameaças à segurança.
Privacidade de Dados na IA: Refere-se à proteção das informações pessoais e sensíveis usadas ou geradas pelos sistemas de IA, garantindo que a privacidade dos indivíduos seja respeitada e protegida.
Ética na IA: Envolve questões relacionadas ao uso ético da IA, incluindo a prevenção de vieses, discriminação e o uso responsável da tecnologia para garantir que ela beneficie a sociedade de maneira justa.
Conformidade Legal e regulatória na IA: Abrange a conformidade com todas as leis e regulamentos aplicáveis ao uso da IA, incluindo privacidade de dados, direitos autorais e outros aspectos legais relevantes. Importante frisar que o Brasil está em vistas de implantar o marco regulatório da IA.
Transparência e Auditabilidade na IA: Refere-se à capacidade de entender e explicar como os sistemas de IA tomam decisões, garantindo que os processos sejam transparentes e auditáveis.
Riscos de IA:Os riscos no uso de IA incluem coisas como alimentar dados de baixa qualidade em modelos de IA e não ter uma estrutura de governança de IA forte para proteger contra vieses não intencionais e desvios de modelo que degradam o desempenho. Mas as empresas também enfrentam riscos se optarem por limitar ou abrir mão do uso de IA. Por exemplo, elas podem ficar para trás de concorrentes que usam IA ou perder possíveis oportunidades de negócios.
Eventos de Risco
Os eventos de risco são a materialização dos riscos identificados dentro das categorias de risco. Eles são incidentes específicos que podem ocorrer como resultado dos riscos e que podem ter impactos significativos na organização. Exemplos de eventos de risco incluem:
Vazamento de Dados Confidenciais e Sensíveis: Ocorre quando modelos de IA são alimentados com dados confidenciais e, inadvertidamente, fornecem esses dados em suas respostas, expondo informações pessoais e sensíveis.
Discriminação e Inferências Indevidas: Acontece quando algoritmos perpetuam preconceitos existentes nos dados de treinamento, resultando em decisões injustas, ou quando a IA faz suposições errôneas com base em dados irrelevantes.
Alucinação ou Imprecisão nas Respostas: Refere-se à capacidade dos modelos de linguagem de gerar respostas convincentes, mas factualmente incorretas ou inconsistentes, levando a possíveis mal-entendidos ou decisões errôneas.
Delegação de Responsabilidade por Recomendações da IA: Envolve os riscos legais associados a ações tomadas com base em recomendações fornecidas pela IA, especialmente se essas recomendações forem incorretas ou mal interpretadas.
Violação de Propriedade Intelectual e Direitos Autorais: Ocorre quando modelos de IA utilizam conteúdos protegidos por propriedade intelectual sem a devida autorização, expondo a organização a riscos legais.
Opacidade e Inexplicabilidade: Refere-se à falta de clareza sobre como os modelos de IA chegam às suas conclusões, dificultando a auditoria e a explicação dos processos de decisão.
Quantificação dos Impactos
Após a identificação dos riscos, é crucial quantificar seus impactos potenciais. Isso inclui:
Impactos Reputacionais: Danos à imagem da organização devido a falhas na implementação da IA.
Multas e Sanções: Penalidades legais e regulatórias associadas a violações.
Interrupção dos Negócios: Paradas operacionais decorrentes de falhas tecnológicas ou problemas de segurança.
Conclusão
A avaliação de riscos do uso de IA nas organizações é um processo complexo, mas essencial para garantir que os benefícios dessa tecnologia sejam plenamente realizados, minimizando os impactos negativos. Ao seguir uma abordagem estruturada para identificar, categorizar e mitigar riscos, as organizações podem navegar com segurança na era da IA, promovendo inovação e eficiência de forma responsável e sustentável.
Por Kim Bozzella, Diretor Executivo da Protiviti – Traduzido e adaptado pela Protiviti Brasil.
Os sistemas globais de TI ainda estão em reinicialização e recuperação após uma atualização de software do fornecedor de segurança cibernética CrowdStrike ter causado uma indisponibilidade massiva mundial de computadores Windows. Empresas, governos e organizações globais foram impactados em vários setores, incluindo companhias aéreas, bancos, telecomunicações e assistência médica. Enquanto a poeira baixa sobre os detalhes do como e do porquê do colapso global, uma coisa é certa: algum problema na atualização de conteúdo da CrowdStrike serviu como um grande chamado para o mundo sobre nossa vulnerabilidade tecnológica coletiva.
Por que isso importa
De acordo com uma publicação de blog da Microsoft, menos de 1% — mais de 8,5 milhões — de todas as máquinas Windows foram afetadas. No entanto, as consequências do patch falho da CrowdStrike foram significativas. Especialistas estimaram o impacto econômico em bilhões, classificando esta como o que pode ser a interrupção de TI mais significativa da história.
Por sua vez, o CEO da CrowdStrike, George Kurtz, declarou que pode levar semanas para recuperar totalmente os mais de 8,5 milhões de dispositivos Windows que foram afetados pela atualização de software. Especialistas em tecnologia há muito alertam que a natureza interconectada dos sistemas subjacentes que dão suporte a serviços essenciais em vários setores pode resultar em mais interrupções globais. No rescaldo imediato, os líderes empresariais devem:
Foco na retomada das atividades de ‘volta ao normal’. Como a maioria das organizações ainda está no processo de resposta formal ao incidente, o foco principal deve ser abordar problemas conhecidos e retomar os serviços comerciais normais, implantando soluções alternativas quando necessário.
Comunique-se em toda a empresa para aumentar a transparência sobre problemas conhecidos. Conforme correções técnicas ad hoc se tornaram disponíveis, os usuários finais podem ter tomado medidas para remediar que não se alinham com as práticas empresariais e podem resultar em problemas não intencionais.
Entenda o impacto para os principais fornecedores de suporte. Envolva-se diretamente com seus terceiros críticos para entender se pode haver impactos posteriores para sua organização nos serviços/esforços que eles fornecem. Implemente estratégias de remediação para lidar com potenciais impactos de fornecedores.
Comunique-se com seus clientes. Forneça comunicações claras e concisas aos clientes sobre a extensão do impacto e o estado de recuperação para aumentar a confiança do cliente de que o problema está sendo gerenciado.
Fique atento a e-mails de phishing. Comunique à empresa a importância de seguir protocolos de comunicação e suporte ao resolver esse problema e fique alerta a e-mails de phishing disfarçados de soluções para esse problema.
O que disseram
Thomas Vartanian, Diretor Executivo, Centro de Tecnologia Financeira e Segurança Cibernética
“Imagine se você não conseguisse encontrar ou acessar seu dinheiro? Esse dia pode estar chegando mais cedo do que pensamos, e cabe a nós agir. As empresas devem assumir a liderança e trabalhar com os governos para finalmente, de uma vez por todas, proteger nosso mundo virtual. Nos últimos 25 anos, se as nações democráticas tivessem reconfigurado o ciberespaço de acordo com algumas regras de senso comum que incorporassem a mesma autenticação, governança, padrões de execução e responsabilidades que empregamos no mundo analógico, as vulnerabilidades virtuais e as chances de paralisações globais teriam sido bastante reduzidas.”
O que dizemos
Infelizmente, isso pode se tornar o novo normal à medida que avançamos para um futuro de TI interconectado. Taticamente, os líderes empresariais devem avaliar outros agentes, ferramentas e produtos de terceiros que compartilham características semelhantes ao CrowdStrike, o que pode representar uma ameaça semelhante no futuro. Estabeleça planos de ação para mitigar essas ameaças. Os líderes empresariais devem integrar um “incidente do tipo CrowdStrike” em bibliotecas de cenários existentes. Enquanto isso, revisar as práticas de gerenciamento de risco de terceiros e tomar medidas para melhor identificar e monitorar aqueles com características semelhantes ao CrowdStrike.
Estrategicamente, as organizações devem continuar a investir em uma estrutura bem pensada — e testada — com a qual tomar decisões comerciais informadas durante um evento adverso. A única certeza é que a próxima interrupção será diferente da última. As organizações que se preparam para reação e recuperação responsivas e responsáveis serão mais adequadas no futuro.
Conclusões
Um evento como o CrowdStrike quase certamente acontecerá novamente. Os líderes empresariais devem usar este incidente como uma oportunidade para reiniciar a resiliência tecnológica. As empresas que permanecerem vigilantes e tiverem os protocolos e planos adequados em vigor estarão mais preparadas para minimizar os danos generalizados, tendo em mente que suas organizações podem sofrer impactos secundários posteriores que podem não surgir por dias ou semanas. Esses impactos incluem atividades relacionadas à conformidade, problemas de integridade de dados, atividades de TI paralelas realizadas a partir de dispositivos de usuários finais que sofrem interrupção ou interrupção de atividades recorrentes que não concluíram um ciclo. Os líderes empresariais devem continuar a se concentrar em mudanças práticas que a organização pode fazer, como garantir que a cadeia de suprimentos de software seja o mais totalmente automatizada possível para minimizar o risco relacionado a erro humano, para se preparar melhor para a próxima interrupção tecnológica generalizada.
Sameer Ansari, Samir Datt e Andrew Retrum, da Protiviti, contribuíram para esta reportagem.
Em um mundo cada vez mais digital, a proteção de dados se tornou um dos principais desafios para as organizações. A exfiltração de dados, ou seja, a transferência não autorizada de informações, é uma ameaça real que pode causar prejuízos financeiros, danos à reputação e problemas legais.
Imagine um cenário onde um funcionário, prestes a se demitir, tenta exfiltrar dados confidenciais da empresa. Sem um sistema robusto de proteção de informações, ele pode imprimir documentos sensíveis, enviar informações para aplicações externas ou clouds pessoais, ou até mesmo utilizar dispositivos USB para copiar dados. Esse tipo de incidente pode resultar em sérios riscos.
Para prevenir incidentes como este, as organizações adotam soluções de Data Loss Prevention (DLP). DLP é um conjunto de ferramentas e processos usados para garantir que dados confidenciais não sejam acessados, compartilhados ou retirados indevidamente. Essas soluções monitoram, detectam e bloqueiam a transferência de dados sensíveis para fora do ambiente corporativo, seja intencional ou acidentalmente. Implementar um sistema de DLP eficaz é essencial para proteger a propriedade intelectual, manter a conformidade com regulamentações e proteger a reputação da empresa.
Quando não há um sistema de proteção de informações implementado, a empresa se torna vulnerável a várias formas de exfiltração de dados. Um funcionário pode:
Imprimir documentos sensíveis: Facilitando a retirada física de informações.
Encaminhar dados para aplicações externas: Como clouds pessoais, onde a empresa perde o controle sobre esses dados. Isto pode ser feito tanto por computadores quanto por celulares e outros dispositivos móveis
Utilizar dispositivos de armazenamento externos: Como pen drives e HDs externos para copiar informações confidenciais
O Microsoft Purview é uma solução abrangente não só de DLP (proteção de dados), mas também de governança dos dados, projetada para ajudar as organizações a gerenciar, proteger e governar seu patrimônio de informações. Como dito anteriormente, ele combina capacidades de DLP, conformidade e governança em uma plataforma unificada, oferecendo uma visão holística da segurança e conformidade das informações em toda a organização.
O Purview está embarcado em licenças Microsoft mas pode não estar sendo usado na sua organização. Por isso, configurá-lo e aplica-lo pode ser um meio rápido e barato para classificar e proteger os dados da sua empresa.
O conceito e a aplicação da governança e proteção de dados do Microsoft Purview é ampla e completa, considerando 3 pilares principais:
Proteção dos dados confidenciais – por meio de mecanismos de descoberta e rotulagem de dados, é possível classificar dados confidenciais e restringir acesso a eles. O Purview possui várias rotulagens automáticas para facilitar este processo, aplicando as características em um conjunto grande de dados
Proteção contra perda de dados – o sistema de prevenção de perda de dados é nativo do Microsoft 365, protegendo o ambiente Microsoft e os pontos de extremidade contra vazamentos de dados. Esta funcionalidade permite avaliar comportamentos suspeitos de usuários que estejam tentando exfiltrar dados sensíveis, adaptando o risco deles de acordo com o seu comportamento. Para dispositivos mobile, é possível instalar o MDM (Mobile Device Manager) InTune, encapsulando todos os aplicativos e dados da organização em um ambiente selado e apartado do resto do celular, bloqueando inclusive prints de tela e envio via whatsapp.
Gerenciamento de riscos internos – por meio dessa solução, as organizações conseguem criar controles de privacidade fortes baseados nos usuários e pontos de extremidade, identificando comportamentos que podem ser enriquecidos por meio de inteligência artificial para apontar riscos de vazamento de dados por pessoas de dentro da organização.
A Protiviti é parceira da Microsoft, com foco na designação de segurança. Temos equipe capacitada não só para otimizar o uso e custo das suas licenças Microsoft, mas também habilitar e configurar as ferramentas de privacidade e segurança de informações. Adotar o Microsoft Purview pode ser um atalho rápido e econômico para a sua organização proteger seus dados de forma eficiente e segura, garantindo a continuidade dos negócios e a proteção contra ameaças internas e externas.
Quando falamos de automação de processos, é comum que os colaboradores da empresa se sintam ameaçados. Afinal, não seria a primeira vez que pessoas perdem o emprego para máquinas. Além disso, o avanço de tecnologias de IA como o DALL-E e Chat-GPT conseguem criar conteúdo que pode ser considerado arte e nem sempre é possível diferenciar de criações humanas. Mas quais os benefícios do RPA para os colaboradores?
A adoção de RPA já é uma realidade, com previsão de crescimento a uma taxa de 32,8% entre 2021 e 2028. Por isso, é uma prioridade para organizações de diversos setores. Apesar disso, sua adoção ainda possui alguns desafios a serem superados. Alguns deles são a falta de conhecimento dos colaboradores sobre os possíveis impactos que a adoção do RPA pode ter em seu trabalho e a baixa aderência devido ao medo de serem substituídos por mão de obra digital.
Por isso é importante destacar os benefícios do RPA aos colaboradores humanos. Confira a seguir 4 deles.
Benefícios do RPA para os colaboradores
1. Auxilia sem substituir
Para automatizar um processo, ele deve possuir determinadas características. Podemos citar, por exemplo:
Baseado em regras claras;
Baixa complexidade;
Muito repetitivo;
Muito volumoso;
Entrada digital de dados;
Padronizado, estruturado e maduro.
Essa lista deixa claro que um RPA não é adequado para realizar tarefas complexas que exijam alto grau de cognição e inteligência emocional. Um robô pode buscar palavras-chave em uma lista de conexões do LinkedIn, porém não poderá escolher o melhor candidato para a vaga. Qualquer decisão que exija algum tipo de análise subjetiva precisa de um ser humano. Assim, o RPA pode ser utilizado como um assistente que auxilia o colaborador, completando tarefas tediosas e cansativas que tomam muito tempo e são pouco produtivas quando executadas por um ser humano.
Além disso, o colaborador que desempenha a tarefa antes da implementação do RPA será uma peça fundamental no desenvolvimento do robô, pois é quem vai fornecer todas as informações sobre o processo que será automatizado.
2. Contribui para o desenvolvimento profissional
Sabemos os limites da capacidade humana de manter a atenção a uma atividade monótona e repetitiva. Após algum tempo realizando tarefas desse tipo, o tédio e o cansaço se instalam e começamos a pensar em outras coisas enquanto ainda estamos executando a tarefa. A distração e o cansaço comprometem nosso poder de processamento, aumentando a chance de erros.
Mas nossa cognição está equipada para lidar com situações mais interessantes do que preencher dezenas de formulários idênticos copiando e colando dados, ou faturar dúzias de Notas Fiscais Eletrônicas numa sequência repetitiva de cliques. Ou seja, ao delegar este tipo de tarefa para um RPA, os colaboradores focam em atividades mais criativas e desafiadoras, aumentando o engajamento e incentivando seu desenvolvimento profissional. Isso funciona ainda melhor se a empresa disponibilizar treinamentos e capacitação em conjunto com um bom plano de carreira.
3. Uma RPA evita acúmulo de trabalho
Um grande volume de tarefas frequentemente resulta em trabalho acumulado e uma equipe sobrecarregada, especialmente quando alguém do time precisa se ausentar por questões de saúde ou sai de férias. Neste caso o RPA prova seu valor, seja eliminando o trabalho acumulado ou evitando que o acúmulo ocorra em primeiro lugar.
4. Aumenta a qualidade de vida no trabalho
Funcionários altamente capacitados para funções complexas ganham mais autonomia no trabalho quando podem delegar tarefas simples e repetitivas para um RPA. Por isso, o aumento de autonomia alivia o esgotamento (burnout) [6] e aumenta a satisfação do colaborador. Isso faz todo o sentido quando levamos em consideração que as pessoas passam a ter a possibilidade de redescobrir seu propósito dentro da empresa e desempenhar papéis mais alinhados aos seus objetivos profissionais. Assim, o resultado de longo prazo será uma maior qualidade de vida no trabalho, com os benefícios do RPA ficando mais aparentes.
Vale ressaltar que é comum que trabalhadores humanos inicialmente torçam o nariz para o RPA, porém passem a ter uma atitude positiva após a implantação. As organizações que pretendem adotar esta tecnologia de automação devem ter transparência na comunicação com seus colaboradores antes de iniciar o processo, por exemplo, informando-os sobre como o RPA será um aliado, e não um inimigo.
Por mais que estejamos vivendo uma era de digitalização do trabalho, os recursos mais preciosos de qualquer organização são as pessoas. Portanto é indispensável que exista sinergia entre mão de obra humana e a mão de obra digital. Os benefícios do RPA como ferramenta de auxílio para colaboradores humanos, alinhada a uma cultura de valorização dos recursos humanos, tem o potencial de gerar benefícios que se traduzirão em equipes mais felizes e engajadas.
*Cristiane dos Santos Costa é consultora de Automação Inteligente de Processos na Protiviti, empresa especializada em soluções para automação e digitalização de processos, compliance, investigação, gestão de riscos, proteção e privacidade de dados.
Fontes de consulta
[1] Costa, S. A. S., Mamede, H. S., & Silva, M. M. (2022). Robotic Process Automation (RPA) adoption: a systematic literature review. Engineering Management in Production and Services, 14(2), 1-12. doi: 10.2478/emj-2022-0012
[2] Khatib, M. , Almarri, A. , Almemari, A. and Alqassimi, A. (2023) How Does Robotics Process Automation (RPA) Affect Project Management Practices. Advances in Internet of Things, 13, 13-30. doi: 10.4236/ait.2023.132002.
[3] Moreira, S; Mamede, H. S.; Santos, A. CENTERIS – International Conference on ENTERprise Information Systems / ProjMAN – International Conference on Project MANagement / HCist – International Conference on Health and Social Care Information Systems and Technologies 2022. Procedia Computer Science 219 (2023) 244–254.
[7] H. Harmoko, A. J. Ramírez, J. G. Enr´ıquez, and B. Axmann, ”Identifying the Socio-Human Inputs and Implications in Robotic Process Automation (RPA): A Systematic Mapping Study,” in International Conference on Business Process Management, 2022: Springer, pp. 185-199.
O que é Ownership Design e como ele pode evitar problemas comuns na TI?
Isso soa familiar? É sexta-feira, 16h, quando chega uma mensagem frenética do COO: “ninguém está conseguindo acessar o CRM. Por um acaso você começou uma atualização de fim de semana mais cedo ou algo parecido?”. Depois de realizar uma investigação (e ligar para casa para avisar que o planejamento do fim de semana se foi), você descobre que existe uma aplicação obsoleta em execução, que não possui mais suporte pelo fornecedor nem as atualizações recentes. Tempos atrás, o time de TI teve que passar por diversos obstáculos só para conseguir colocar essa aplicação em execução, pois era o que a área de negócios desejava.
Agora são 18h30, e todos os envolvidos estão reunidas em uma reunião no Teams. A área de negócios culpa o time de TI por não conseguir manter os sistemas operando. O time de TI culpa a área de negócios por insistir em utilizar um software obsoleto só porque “é o que usamos há décadas”. A chamada acaba. São 19h30 e, a despeito dos gritos e do apontamento de dedos, nenhum progresso foi feito. Você diz em voz alta: “ninguém quer tomar a questão para si. Onde está a responsabilidade?”. Isso soa familiar?
O que aconteceu?
Embora algo como a situação acima aconteça em diferentes tipos de organizações, de vários setores do mercado, ela tem uma causa raiz: Ownership Design. Compreendendo o conceito de Ownership Design, conseguimos ajudar a minimizar estes problemas e, por fim, alcançar a eficiência no ambiente geral de TI.
O que é Ownership Design?
Ownership Design, em tradução livre, seria o design e a implementação do famoso “sentimento de dono”). Ou seja, é, simplesmente, uma maneira de orientar com precisão o comportamento dos colaboradores, usando regras cuidadosamente projetadas, que definem como as pessoas assumem a responsabilidade das coisas.
Mas como? Aqui vai um exemplo real:
Todos nós gostamos de compartilhar nossas contas da Netflix – membros da família, vizinhos, colegas e até mesmo estranhos! Ainda que muitos usuários não percebam, compartilhar contas da Netflix pode ser um crime federal sob a Lei Fraude e Abuso de Computador (leis criminais a respeito de crimes cometidos com auxílio de computador nos Estados Unidos) e punível com até um ano de prisão. No entanto, o CEO da Netflix, Reed Hastings, transformou isso em uma oportunidade de marketing, dizendo: “adoramos que as pessoas compartilhem a Netflix”.
Isso pode soar contraintuitivo – uma empresa não deveria exigir que todos pagassem por seu próprio acesso? Ao permitir que as pessoas compartilhem suas contas, a Netflix espera que essas pessoas se tornem obcecadas com seus programas e eventualmente adquira sua própria assinatura. E essa estratégia de Ownership Design foi bem-sucedida.
Também conhecido como “roubo tolerado”, está é uma das muitas maneiras pelas quais o Ownership Design pode moldar o comportamento das pessoas.
Problemas comuns de Ownership Design
Aqui estão alguns dos problemas comuns de Ownership Design que podem ser encontrados em muitas organizações:
“Eu colho, você semeia”
A área de negócios quer uma aplicação, mas é o time de TI o responsável por implementá-la. Quando as coisas vão bem, o negócio se beneficia. Quando algo dá errado, é sempre culpa da TI. Então, o que está errado?
Se analisarmos esta questão pela ótica do Ownership Design, uma das causas raiz é o desalinhamento de interesses. Nessa relação, o interesse da área de negócios é uma aplicação melhor, o que exige mais esforços da TI. Enquanto isso, a TI opera com sua própria agenda crítica, e ao desviar esforços para um trabalho adicional, acaba por fornecer pouco ou nenhum benefício. Sendo assim, acaba gerando mais políticas e requisitos, como Acordos de Nível de Serviço (SLAs), que podem ser estabelecidos para forçar a TI a fornecer uma “melhor” qualidade de serviço. A realidade é que isso só funciona no papel.
Uma solução comum é o modelo chargeback (“cobrança retroativa”) . Isso permite que TI aloque seu orçamento para unidades de negócios específicas em vez de centralizá-lo em um único departamento, o que essencialmente torna as despesas rastreáveis, aumentando a transparência.
“Nuvem: um passe livre para a isenção de responsabilidade”
Mais e mais organizações estão migrando para a nuvem. Algumas delas adotam “cloud-first” (conceito de nuvem desde a concepção do projeto, o que pode trazer ganhos financeiros e eficiência operacional). A adoção da nuvem não apenas torna os limites da rede cada vez mais ambíguos, mas também torna o a definição de responsabilidades equivocada. Durante uma avaliação de segurança, a o departamento de TI em muitas organizações pode dizer: “Esta é uma plataforma em nuvem, não gerenciada por nós. Esse fornecedor de nuvem tem uma ótima reputação, então todos os usam.”. Dessa forma, a nuvem é usada quase como um passe livre para a isenção de responsabilidade.
E aqui está o problema: isso não é verdade. A história nos ensinou que uma má implementação pode minar uma grande tecnologia. Neste caso, entra a delegação de responsabilidades.
Para superar esse problema, uma organização deve garantir que os colaboradores entendam quais são suas responsabilidades. Muitos provedores de serviços de nuvem já possuem documentações que podem ser usadas como referência. Por exemplo, a AWS tem um modelo de atribuições compartilhadas que descreve como as responsabilidades são compartilhadas entre eles e os clientes.
“Construa uma comunidade, não silos”
A governança tradicional de TI nos diz para definir claramente as propriedades, as funções e as responsabilidades. Geralmente, isso acaba fazendo com que as pessoas gastem mais tempo para encontrar alguém para culpar, transformando a governança de TI em um jogo de apontar dedos. Agora, vamos parar e realizar uma análise da realidade: quantas dessas funções e responsabilidades foram implementadas com sucesso de maneira assídua?
A governança excessivamente sofisticada apenas cria um fardo a ser imposto, gerando um ambiente de tensão em vez de criar um senso de comunidade. Somos todos humanos, e nossas práticas de negócios devem levar em conta isso. Um típico exemplo desta situação é a classificação da informação e rotulagem de dados. Muitas reuniões de governança de dados se transformam em jogos de apontar o dedo sobre quem deve aplicar rótulos e como esses rótulos devem ser aplicados. Em seguida, os usuários são culpados por não aplicarem corretamente os rótulos. Isso fere os sentimentos de todos!
Em vez de uma abordagem simples e direta, a governança de TI precisa funcionar mais como um balizador . Você pode aumentar ou diminuir a baliza, conforme necessário. Isso também é conhecido como “ambiguidade projetada”. Usando novamente a classificação da informação como um exemplo, na maioria das organizações, quão realista é para um usuário memorizar páginas de definições e categorizar adequadamente a sua sensibilidade toda vez que um documento é criado? Os fatores humanos devem ser levados em consideração – nós todos somo ocupados (e um pouco preguiçosos de vez em quando). Pode ser mais eficaz fornecer uma “regra prática” definida aos usuários para esta classificação, em vez de políticas excessivamente sofisticadas. Quando as tecnologias automatizadas estiverem prontas, uma opção é transferir a imposição desta responsabilidade para tecnologias automatizadas que possam entender o contexto de um documento em vez de simplesmente combinar padrões. Por exemplo, utilizar a IA para categorizar os dados com base nessas regras sofisticadas de uma maneira muito mais confiável. Afinal, a IA deve ser imune a algumas de nossas falhas humanas.
Use o Ownership Design como uma ferramenta
Os exemplos discutidos aqui são apenas a ponta do iceberg. Problemas de Ownership Design podem ser encontrados em toda governança de TI e, muitas vezes, podem ser as causas subjacentes de muitos problemas de governança de TI. Infelizmente, isso se deve à natureza humana, porque é inerente à nossa natureza perguntar: “o que eu ganho com isso?”.
Não se deixe enganar pelo termo Ownership Design. Não é uma abordagem simples. Em vez disso, deve ser usado como um balizador: você deve aumentar ou diminuir esta baliza, conforme necessário. O objetivo final nunca é ter uma designação clara de quem possui o quê, mas sim usá-lo como uma ferramenta para moldar o comportamento das pessoas. E quando usado corretamente, o Ownership Design pode ser uma ferramenta extremamente poderosa.
*Jacky Guo e Eric Mauser, Gerentes de Segurança e Privacidade da Protiviti INC.
Danos à reputação, resgates pesados e continuidade dos negócios são as principais preocupações com o ransomware. Mas o cerne da conversa é sobre a potencial perda de propriedade intelectual e informações de clientes e o espectro de negociações desagradáveis com criminosos e outras partes que podem ou não ser patrocinadas por atores de estados-nação. O mercado ainda não sabe o número e a abrangência desses ataques, pois poucas empresas vitimadas por eles têm interesse em compartilhar suas experiências. No entanto, as estimativas dos custos totais de ransomware nos Estados Unidos chegam a US$ 20 bilhões em 2021. Várias coisas são claras: poucas empresas estão totalmente protegidas e nenhuma empresa se sente segura contra ransomware. E todas as empresas, independentemente do tamanho ou localização, são vulneráveis.
Os agentes de ameaças de ransomware de hoje se concentram na interrupção. Seu modelo é penetrar, extrair, criptografar e exigir resgate rapidamente, por exemplo, tudo em questão de minutos. As vítimas que se recusam a pagar extorsão devem se preparar para divulgações públicas de dados extraídos. Ou seja, os jogadores desonestos acabam controlando a empresa.
Ransomware: ataques cada vez mais sofisticados
À medida que os ataques e os próprios invasores se tornam cada vez mais sofisticados e as consequências continuam a aumentar, as empresas devem aprender e responder na mesma moeda. Para se adaptar com confiança a esse cenário de ameaças em evolução, eles devem combinar resiliência operacional, inteligência de ameaças cibernéticas e segurança cibernética. Mas isso não é fácil. Há muitas partes móveis a serem consideradas ao construir um sistema de defesa cibernética robusto, coerente e dinâmico que responda ao cenário de ataque com foco e velocidade.
Dada a complexidade e a dinâmica das exposições de ransomware, o que os membros do conselho podem fazer para ajudar suas organizações a enfrentar o desafio de analisar riscos e proteger ativos críticos? Seguem quatro sugestões:
Preparar o diretor de segurança da informação (CISO) para o sucesso no combate ao ransomware
Como os CISOs desempenham um papel essencial para a segurança de alguns dos ativos mais importantes da empresa, o conselho precisa fazer sua parte. É papel importante esclarecer as expectativas, educando-se sobre as questões, permitindo tempo suficiente de agenda para discussão e prestando atenção quando recursos e orçamentos adicionais são solicitados. Ao transmitir suas preocupações, os diretores auxiliam o CISO a focar os preparativos, prioridades e métricas para a diretoria. Assim, se o conselho atribuir um tempo limitado na agenda para a discussão cibernética, o conselho ou o presidente do comitê deve permitir que o CISO entregue a mensagem em resposta às expectativas declaradas e faça perguntas que exijam uma resposta mais detalhada offline. Idealmente, o CISO deve ser um parceiro estratégico no nível do conselho, com interfaces necessárias entre reuniões com diretores interessados e apoio ativo do presidente do conselho e do CEO
Organize o conselho para uma supervisão eficaz da segurança cibernética anti ransomware
Quando ocorre um ataque de ransomware, o conselho inteiro geralmente está envolvido até que o problema seja resolvido e a integridade do sistema seja restaurada. A manutenção dessa integridade no futuro é o foco principal do conselho ou de um comitê designado do conselho. Embora o CISO seja responsável pela resposta operacional e a gestão da empresa seja responsável por sua eficácia, os diretores devem esperar obter a confiança dos briefings do CISO de que o plano de resposta daqui para frente e quaisquer fornecedores terceirizados contratados para ajudar em sua implementação reflitam as lições aprendidas com ataques anteriores e avaliações contínuas do cenário de ameaças.
Como a tecnologia é agora uma conversa estratégica, o conselho deve avaliar periodicamente se precisa de acesso a conhecimentos adicionais. Seja como membro ou consultor objetivo do conselho. As opções relevantes para estruturar as consultas do conselho dependem da gravidade do cenário de ameaças, do papel da tecnologia na execução da estratégia de negócios da empresa e da sensibilidade dos sistemas e dados que suportam o modelo de negócios.
Faça as perguntas certas — E não negligencie terceiros ao fazer as perguntas certas
Muitos conselhos procuram entender como os ataques de ransomware ocorreram em outros lugares e se os cibercriminosos podem explorar esses mesmos métodos em suas organizações. Por isso, os diretores não devem subestimar a importância de fazer as perguntas certas à gestão sobre consciência situacional, estratégia e operações, ameaças internas, resposta a incidentes e tópicos relacionados. Sobre ransomware, os diretores devem se concentrar na avaliação de comprometimentos e na resposta e preparação a incidentes. Mas, além disso, o foco deve estar em uma visão de ponta a ponta da empresa. Um ataque de ransomware a terceiros que lidam com sistemas críticos e dados confidenciais pode interromper a operação, assim como um ataque direto à empresa.
Apoie a conversa com um painel de métricas apropriadas
Métricas relevantes podem incluir o número de vulnerabilidades do sistema, o tempo necessário para implementar patches, o número de violações, o tempo de permanência do invasor (o tempo necessário para detectar uma violação), o tempo necessário para responder a uma violação, o tempo necessário para remediar as descobertas da auditoria, a porcentagem de violações perpetradas por terceiros e o número de violações de protocolos de segurança. Ou seja, o tempo de permanência do invasor é particularmente crítico para um ataque de ransomware. Quanto mais tempo os invasores permanecerem indetectados em uma rede, maior a probabilidade de encontrarem sistemas e recursos que possam utilizar para resgate. Por isso, relatórios e métricas do CISO devem fazer parte das comunicações do conselho e ser integrados ao painel de gerenciamento de riscos corporativos (ERM).
Os invasores de ransomware de hoje geralmente são bem financiados, possuem experiência em negócios e são altamente qualificados em métodos de hackers. Além disso, precisamos dizer que eles jogam duro. Embora o conselho não seja responsável pelos detalhes operacionais do dia-a-dia, suas responsabilidades de dever de cuidado no espaço cibernético são significativas. Isso por conta da sensibilidade dos dados e o valor para os acionistas da propriedade intelectual, reputação e imagem da marca da empresa.