Tecnologia e Cibersegurança Archives - Protiviti

A nova lei exige que os sistemas de IA sejam transparentes, explicáveis e compreensíveis.

A Lei de IA da UE é a primeira regulamentação da União Europeia que estabelece um quadro regulatório e legal comum para a IA (Inteligência Artificial). Ela foi adotada em março de 2024 e será totalmente aplicável em 24 meses, entrando em vigor gradualmente até lá.

Mas quais medidas as empresas devem tomar para se adequar à nova regulamentação?

Primeiramente, vamos analisar por que a Lei é inovadora. Globalmente, este é o primeiro quadro regulatório a abordar o desenvolvimento, implantação e uso de IA em diversos setores. Ele utiliza uma abordagem baseada em risco para o acesso aos sistemas de IA, de modo que os requisitos de conformidade são ajustados de acordo com o impacto potencial na segurança e nos direitos fundamentais. A Lei exige que os sistemas de IA sejam transparentes, explicáveis e compreensíveis, responsabilizando as organizações que os desenvolvem pelos resultados.

Com o tempo, muitos acreditam que essa regulamentação irá fortalecer a confiança do público nos sistemas de IA.

Comparação de Regulamentações na UE, EUA e Reino Unido

Ao comparar a Lei de IA da UE com as abordagens adotadas nos EUA e no Reino Unido, há diferenças claras.

Nos EUA, a regulamentação é fragmentada, com diretrizes específicas para alguns setores, mas sem uma regulamentação federal abrangente sobre IA, como ocorre na UE. Os EUA desenvolveram estruturas e padrões por meio do Instituto Nacional de Padrões e Tecnologia (NIST), mas estes são não vinculantes. Dessa forma, há uma maior dependência da autorregulação da indústria para desenvolver uma IA ética.

A abordagem do Reino Unido é semelhante à dos EUA, com estruturas e princípios não vinculantes para o desenvolvimento de IA ética, em vez de regulamentação formal. Diante disso, a Lei de IA da UE poderia servir como um modelo para que outros países ou jurisdições desenvolvam suas abordagens/estruturas de regulamentação, dada a abordagem abrangente e estruturada da Lei.

À medida que a prevalência da IA continua a crescer, é provável que a regulamentação também evolua. Estabelecer diretrizes para que as organizações desenvolvam IA de maneira segura ajudará a aumentar a confiança do público, a adoção e a inovação, de modo que a regulamentação deve ser vista como algo positivo e como um caminho para fomentar a inovação.

O que as organizações podem fazer para se preparar para a Lei de IA da UE?

Primeiramente, as organizações devem avaliar onde estão adotando IA e realizar uma avaliação de riscos em conformidade com os níveis de risco previstos na Lei de IA da UE. Isso ajudará a medir os impactos futuros de forma antecipada e ajustar o desenvolvimento conforme necessário.

Em segundo lugar, elas devem garantir a responsabilidade em nível executivo e em toda a organização sobre os casos de uso que estão sendo desenvolvidos e o propósito de cada um, verificando se o desenvolvimento do sistema e os conjuntos de dados usados para treinamento estão alinhados a esse propósito.

Terceiro, à medida que os sistemas de IA forem criados, a equipe de desenvolvimento deve garantir que os algoritmos sejam bem documentados, de modo que sejam explicáveis e transparentes.

Devem também garantir que os conjuntos de dados utilizados no desenvolvimento dos algoritmos sejam adequados ao propósito, que os dados sejam justos e que quaisquer resultados dos sistemas de IA respeitem os direitos fundamentais.

Uma vez desenvolvido, o sistema de IA precisará ser monitorado regularmente para garantir que não surjam novos riscos ou problemas. Além disso, as organizações devem investir em treinamento sobre alfabetização em dados e IA para que todos os colaboradores compreendam os riscos éticos ou problemas relacionados.

Por fim, as organizações devem interagir com seus reguladores, colaborando em fóruns e grupos de trabalho, ajudando a moldar iniciativas nesse campo. Isso ajudará tanto as organizações quanto os reguladores a se prepararem para o futuro.


E no Brasil? Expectativas sobre o Marco Legal da IA

“No Brasil, o Marco Legal da Inteligência Artificial está sendo discutido no Congresso Nacional, com a intenção de criar um sistema regulatório que aborde o uso da IA em diferentes setores da economia. Inspirado em modelos internacionais, como o da União Europeia, o texto preliminar do projeto de lei – PL 2338/2023, regular potenciais impactos sobre a segurança e os direitos fundamentais. O projeto prevê a criação de uma autoridade competente para monitorar e regular a implementação da IA (potencialmente a ANPD), e a expectativa é que possa criar diretrizes mais claras para o desenvolvimento responsável da IA no Brasil, contribuindo para o avanço tecnológico com segurança jurídica e proteção de direitos e dados pessoais.” André Cilurzo – Diretor Executivo de Technology Risk Consulting na Protiviti Brasil.

Conteúdo original de Michelle Moody, Managing Director de Data & Analytics da Protiviti Inc., traduzido e adaptado por André Cilurzo. Originalmente publicado em AI Business.

Para abordar as tendências atuais em cibersegurança, é essencial compreender o panorama dinâmico e em constante evolução das ameaças cibernéticas. Nesse artigo, conheça as tendências mais recentes identificadas por pesquisas especializadas, destacando os desafios emergentes e as estratégias inovadoras adotadas para proteger sistemas e dados contra ameaças cada vez mais sofisticadas. 

Cibersegurança: panorama atual

A cibersegurança tornou-se uma prioridade crucial para organizações de todos os setores, devido ao aumento significativo de incidentes cibernéticos e à crescente sofisticação dos ataques. Conforme indicado pela IBM Security, o custo médio global de uma violação de dados em 2023 foi de aproximadamente 4,24 milhões de dólares, demonstrando o impacto financeiro substancial que esses eventos podem ter.

Evolução das ameaças cibernéticas 

As ameaças cibernéticas estão se tornando mais diversificadas e complexas, adaptando-se rapidamente às novas tecnologias e vulnerabilidades emergentes. Um estudo da McAfee observa um aumento alarmante no número de ransomwares direcionados a grandes corporações e infraestruturas críticas, refletindo uma tendência preocupante de ataques direcionados e sofisticados. Além disso, ataques de phishing continuam sendo uma ameaça significativa, com hackers aproveitando técnicas avançadas de engenharia social para enganar usuários e obter acesso não autorizado a sistemas corporativos. 

Desafios emergentes em cibersegurança 

Com o advento da Internet das Coisas (IoT) e a proliferação de dispositivos conectados, surgem novos desafios em termos de segurança cibernética. Dispositivos IoT frequentemente carecem de padrões de segurança robustos, tornando-se alvos fáceis para invasores que buscam explorar vulnerabilidades e comprometer redes corporativas. De acordo com o relatório da Trend Micro, ataques a dispositivos IoT aumentaram em 300% nos últimos dois anos, sublinhando a necessidade urgente de estratégias de segurança adaptativas.

Tendências Emergentes em Cibersegurança 

A utilização de inteligência artificial (IA) e machine learning (ML) está se tornando fundamental na detecção proativa de ameaças cibernéticas. Soluções baseadas em IA podem analisar grandes volumes de dados em tempo real, identificando padrões anômalos e comportamentos suspeitos que podem indicar potenciais ataques. De acordo com a Gartner, até 75% das organizações utilizarão ferramentas de detecção de ameaças baseadas em IA até 2024.

A arquitetura de Zero Trust está ganhando popularidade como uma abordagem de segurança que desafia o modelo tradicional de perímetro de rede. Em vez de confiar automaticamente em usuários e dispositivos dentro da rede corporativa, o Zero Trust requer verificações contínuas de identidade e autorização para acessar recursos, independentemente da localização do usuário. Segundo o Forrester Research, a implementação de Zero Trust pode reduzir em até 30% o impacto de violações de dados.

Com a adoção crescente de serviços em nuvem, a segurança na nuvem tornou-se uma prioridade crítica. Soluções de segurança em nuvem oferecem proteção avançada contra ameaças cibernéticas, garantindo a integridade e a confidencialidade dos dados armazenados e processados na nuvem. De acordo com a Microsoft, investimentos em segurança em nuvem estão aumentando exponencialmente, com empresas priorizando soluções que ofereçam visibilidade e controle abrangentes sobre suas cargas de trabalho na nuvem.

Estratégias de resposta e mitigação 

Diante dessas tendências e desafios em cibersegurança, as organizações estão adotando abordagens multifacetadas para proteger seus ativos digitais e mitigar o impacto de possíveis violações. Isso inclui a implementação de políticas rigorosas de segurança da informação, a realização regular de testes de penetração e vulnerabilidade, e a formação contínua dos colaboradores em práticas seguras de navegação e uso de tecnologia. 

Exemplo de implementação prática 

Um exemplo de implementação prática pode ser observado em uma empresa de tecnologia líder que adotou uma abordagem de segurança em camadas para proteger sua infraestrutura crítica. A empresa utilizou ferramentas avançadas de detecção de ameaças baseadas em IA para monitorar continuamente o tráfego de rede e identificar atividades suspeitas. Além disso, implementou políticas de Zero Trust para restringir o acesso a dados sensíveis apenas a usuários autorizados, independentemente de sua localização física. Essas medidas ajudaram a empresa a mitigar riscos significativos e manter a integridade de seus sistemas em face de ameaças crescentes. 

Conclusão 

Em suma, as tendências em cibersegurança estão evoluindo rapidamente à medida que novas tecnologias emergem e as ameaças cibernéticas se tornam mais sofisticadas. Adotar abordagens inovadoras, como inteligência artificial, arquitetura de Zero Trust e segurança em nuvem, tornou-se imperativo para proteger organizações contra violações de dados e interrupções de operações. Ao implementar estratégias eficazes de cibersegurança e manter-se atualizado com as últimas pesquisas e práticas recomendadas, as organizações podem mitigar riscos, garantir a conformidade regulatória e fortalecer sua postura de segurança digital. 


Por Matheus Jacyntho, Diretor de Cibersegurança e Resiliência na Protiviti Brasil, e Cíntia Soares, Market Sector Leader l Senior Manager – Business Performance & Transformation.

De assistentes digitais pessoais a veículos autônomos, a Inteligência Artificial (IA) está revolucionando a forma como interagimos com a tecnologia e uns com os outros. Nesse cenário,  o Microsoft Copilot e o ChatGPT da Open AI estão na vanguarda, aproveitando tecnologias transformadoras como Generative Pretrained Transformers (GPT) e Large Language Models (LLM). Essas ferramentas avançadas aproveitam o processamento de linguagem natural para entender e gerar respostas semelhantes às humanas a partir de grandes quantidades de dados, executando uma ampla gama de tarefas, como análise de sentimentos, resposta a perguntas, resumo e geração de imagens e textos. À medida que continuamos a explorar as fronteiras na inovação da IA, as tendências sugerem um futuro cada vez mais guiado por essas plataformas poderosas que não apenas aprimoram nossas habilidades, mas também moldam um futuro em que a influência da IA irá permear todos os aspectos de nossas vidas.

IA e LLMs oferecem benefícios importante para empresas que desejam aproveitar o poder da linguagem natural para seus negócios. Essas ferramentas podem ajudar as empresas a aperfeiçoarem seu atendimento ao cliente, aumentar a produtividade, otimizar processos, gerar insights e agregar valor aos negócios. No entanto, IA e LLMs também representam desafios significativos para empresas que desejam usá-los de forma eficaz e responsável.

Isso porque elas exigem muitos dados, poder de computação e experiência para treinar, implantar e manter. Tanto a IA quanto os LLMs também levantam questões sobre questões éticas, legais e sociais, como privacidade de dados, segurança, preconceito, justiça, responsabilidade e transparência. É importante observar que os LLMs não são necessariamente treinados para precisão: em vez disso, eles são treinados para fornecer a próxima melhor resposta de conversação a uma consulta. A quantidade de dados que precisam ser gerenciados e governados está crescendo exponencialmente e, com o início da IA generativa, a geração de novos dados não estruturados está impactando significativamente a como os dados são registrados, descobertos, protegidos, monitorados, auditados e principalmente terem sua veracidade confirmada.

Governança e gestão dos ativos de IA

O Microsoft Purview é o conjunto de soluções de segurança de dados da Microsoft que fornece um único local para descobrir, proteger e gerenciar dados em todo o ambiente corporativo para privacidade de dados, conformidade regulatória e segurança cibernética. Esta ferramenta permite que os usuários descubram, protejam e monitorem prompts e respostas, usando dados de IA generativa em ferramentas internas e externas.

Essas soluções são essenciais para que a IA opere de maneira gerenciada e controlada, mas também são relevantes para as empresas que estão adotando rapidamente a tecnologia sem os devidos controles de uso, compartilhamento e exportação de dados. A Microsoft anunciou recentemente o Microsoft AI Hub, que aproveita os recursos do MS Purview para identificar, proteger e gerenciar o uso de IA de uma organização em um único dashboard de indicadores.

Entre os principais recursos do MS Purview AI Hub estão a capacidade de inventariar atividades de IA generativa, incluindo o uso de dados confidenciais em uma ampla variedade de aplicativos e sites. A ferramenta permite proteger as interações do Copilot impedindo o acesso não autorizado confidencial de dados confidenciais e, mais especificamente, o Hub de IA do MS Purview pode monitorar, alertar ou até mesmo impedir que os usuários enviem informações confidenciais para sites de IA generativa. Além disso, ele também permite detectar e mitigar riscos de negócios e violações regulatórias enquanto o uso do AI Hub generativo no Purview, que permite a análise de riscos e impacto do uso de algoritmos de IA, ajuda os usuários a superarem esses desafios de e maximizar os benefícios de sua utilização nas empresas.  

O Hub de IA do Microsoft Purview e as políticas que ele monitora estejam vinculadas ao DLP, exigindo que os dispositivos sejam integrados a esta plataforma. O AI Hub disponibiliza políticas integradas que podem ser ativadas e personalizadas para definir o escopo para usuários/grupos específicos e adaptá-las aos requisitos organizacionais. As políticas internas incluem:

Os administradores e as equipes de proteção de dados também podem usar o Gerenciador de Atividades do Microsoft Purview para monitorar as interações de IA dos usuários e ser alertados quando uma regra DLP corresponder à interação de um usuário com um site de IA generativa. As principais preocupações dos líderes de segurança incluem riscos éticos, legais e regulatórios da utilização da IA.

À medida que as organizações aumentam a adoção de recursos de IA, regulamentações adicionais serão promulgadas para apoiar a utilização responsável e, ao mesmo tempo, proteger dados pessoais confidenciais. Embora o AI Act Europeu, juntamente com as estruturas com o NIST AI e a ISO 42.001, forneçam orientação para adoção, identificação e mitigação de riscos, é fundamental desenvolver uma estrutura de governança para IA que considere as implicações em seu modelo de negócios e do funcionamento de segmento de atuação.

Microsoft Purview: suporte à AI

Para assegurar a integração entre o monitoramento proativo e a necessidade de governança de IA, os novos modelos de IA Premium do Microsoft Purview Compliance Manager oferecem uma solução estratégica para gerenciar e relatar o risco de conformidade de IA, garantindo que utilização ética e legal da IA esteja alinhada com os padrões organizacionais e os regulamentos futuros. O Gerenciador de Conformidade do Microsoft Purview dá suporte à conformidade de IA por meio de quatro novos modelos de IA Premium para ajudar a avaliar, gerenciar e relatar os riscos de conformidade de IA. Esses modelos identificam as melhores práticas, monitoram as interações de IA, evitam o compartilhamento inadequado de dados confidenciais em aplicativos de IA e gerenciam políticas de retenção e exclusão para interações de IA. O Gerenciador de Conformidade inclui monitoramento em tempo real em aplicativos Multicloud e Software as a Service (SaaS), podendo ser revisado como parte de um programa completo de governança de IA.

O Copilot para Microsoft 365 permite otimizar o acesso a dados não estruturados em toda a organização, visto que a implantação e a utilização exigem acesso a dados atuais e relevantes. No entanto, a maioria das organizações têm dificuldades em evitar a proliferação, o gerenciamento e a proteção de dados. À medida que as organizações avançam para adotar a IA, o foco crítico deve ser aplicado para garantir um forte gerenciamento de dados em toda a empresa. Isso inclui a remoção de dados obsoletos e desatualizados, a proteção de dados críticos e confidenciais e a identificação proativa do uso inadequado.

Os recursos de Gerenciamento de Registros e Ciclo de Vida de Dados do Microsoft Purview permitem que as organizações descartem de forma defensável os dados que não são mais necessários. Ao aproveitar políticas e rótulos nessas ferramentas, as organizações podem permanecer em conformidade com os regulamentos de retenção de dados, reduzir sua superfície de ataque descartando dados que não são mais necessários e permitir que o Copilot para Microsoft 365 acesse as informações mais relevantes e atualizadas para fornecer as respostas mais relevantes e úteis.

O Microsoft Purview eDiscovery Premium permite que as equipes jurídicas e de descoberta eletrônica descubram quais tipos de informações os usuários estão inserindo nos prompts do Copilot para Microsoft 365 e quais tipos de respostas estão recebendo. Esse é um recurso essencial ao investigar o possível uso mal-intencionado de IA em organizações ou realizar avaliações de conformidade sobre como as informações estão sendo compartilhadas por meio da IA generativa.

O AI Hub no Purview, juntamente com os recursos de proteção de dados do Purview, fornece uma nova maneira de gerenciar ativos de IA com responsabilidade, com foco na segurança e na conformidade.

Baseado no artigo original escrito por: Patrick Anderson, MD Protiviti; Patrick Anderson, MD Security & Privacy; Antonio Maio, MD Microsoft.

A adoção da Inteligência Artificial (IA) nas organizações está em franco crescimento, impulsionada pelas promessas de aumento de eficiência, melhoria na tomada de decisão e inovação nos serviços oferecidos. No entanto, essa tecnologia também traz consigo uma série de riscos que precisam ser identificados e gerenciados adequadamente para garantir que os benefícios sejam plenamente aproveitados enquanto os potenciais impactos negativos são mitigados. Este artigo tem como objetivo explorar de maneira detalhada a avaliação de riscos associados ao uso da IA nas organizações, fornecendo uma estrutura compreensiva para a identificação e categorização desses riscos.

IA nas Organizações: Identificação e Avaliação de Riscos

A primeira etapa na avaliação de riscos é a identificação clara do propósito das iniciativas de IA e dos modelos que serão utilizados. A IA pode ser aplicada de diversas formas, tanto internamente, para melhorar processos organizacionais, quanto externamente, para melhorar a interação com clientes e partes interessadas.

Uso Interno da Organização

Uso Externo para Clientes e Partes Interessadas

Identificação dos Objetivos e Contexto de Uso para os Modelos de IA

Para uma avaliação eficaz de riscos, é fundamental entender o contexto de uso e os objetivos específicos dos modelos de IA implementados. A criação e operação da IA envolvem várias etapas críticas, incluindo:

As etapas constituem a cadeia de valor da criação e operação da IA. Endereçar os riscos nas etapas da cadeia é um facilitador para definir os responsáveis por atuar no tratamento deles.

Identificação dos Riscos

A identificação dos riscos envolve a análise de várias categorias de riscos e eventos específicos que podem impactar a organização:

Categorias de Risco

As categorias de risco referem-se aos conjuntos temáticos de risco que englobam diferentes tipos de ameaças e vulnerabilidades relacionadas ao uso de IA nas organizações. Essas categorias ajudam a estruturar e organizar os riscos de maneira a facilitar a sua identificação, avaliação e gerenciamento. No contexto de IA, as principais categorias de risco incluem:

Categorias de risco

As categorias de risco são agrupamentos de eventos de risco que refletem grandes áreas de preocupação dentro das categorias de risco. Eles representam os temas mais amplos e críticos que podem impactar a organização de forma significativa e facilitam a definição dos donos dos riscos, ou seja, aqueles que devem se apropriar do risco e tomar ações para trata-lo. No contexto de IA, as principais categorias incluem:

Eventos de Risco

Os eventos de risco são a materialização dos riscos identificados dentro das categorias de risco. Eles são incidentes específicos que podem ocorrer como resultado dos riscos e que podem ter impactos significativos na organização. Exemplos de eventos de risco incluem:

Após a identificação dos riscos, é crucial quantificar seus impactos potenciais. Isso inclui:

Conclusão

A avaliação de riscos do uso de IA nas organizações é um processo complexo, mas essencial para garantir que os benefícios dessa tecnologia sejam plenamente realizados, minimizando os impactos negativos. Ao seguir uma abordagem estruturada para identificar, categorizar e mitigar riscos, as organizações podem navegar com segurança na era da IA, promovendo inovação e eficiência de forma responsável e sustentável.

Por Kim Bozzella, Diretor Executivo da Protiviti – Traduzido e adaptado pela Protiviti Brasil.

Os sistemas globais de TI ainda estão em reinicialização e recuperação após uma atualização de software do fornecedor de segurança cibernética CrowdStrike ter causado uma indisponibilidade massiva mundial de computadores Windows. Empresas, governos e organizações globais foram impactados em vários setores, incluindo companhias aéreas, bancos, telecomunicações e assistência médica. Enquanto a poeira baixa sobre os detalhes do como e do porquê do colapso global, uma coisa é certa: algum problema na atualização de conteúdo da CrowdStrike serviu como um grande chamado para o mundo sobre nossa vulnerabilidade tecnológica coletiva.

Por que isso importa

De acordo com uma publicação de blog da Microsoft, menos de 1% — mais de 8,5 milhões — de todas as máquinas Windows foram afetadas. No entanto, as consequências do patch falho da CrowdStrike foram significativas. Especialistas estimaram o impacto econômico em bilhões, classificando esta como o que pode ser a interrupção de TI mais significativa da história.

[Baixe agora] Cibersegurança em ação: estratégias para a gestão de vulnerabilidades

Por sua vez, o CEO da CrowdStrike, George Kurtz, declarou que pode levar semanas para recuperar totalmente os mais de 8,5 milhões de dispositivos Windows que foram afetados pela atualização de software. Especialistas em tecnologia há muito alertam que a natureza interconectada dos sistemas subjacentes que dão suporte a serviços essenciais em vários setores pode resultar em mais interrupções globais. No rescaldo imediato, os líderes empresariais devem:

O que disseram

Thomas Vartanian, Diretor Executivo, Centro de Tecnologia Financeira e Segurança Cibernética

“Imagine se você não conseguisse encontrar ou acessar seu dinheiro? Esse dia pode estar chegando mais cedo do que pensamos, e cabe a nós agir. As empresas devem assumir a liderança e trabalhar com os governos para finalmente, de uma vez por todas, proteger nosso mundo virtual. Nos últimos 25 anos, se as nações democráticas tivessem reconfigurado o ciberespaço de acordo com algumas regras de senso comum que incorporassem a mesma autenticação, governança, padrões de execução e responsabilidades que empregamos no mundo analógico, as vulnerabilidades virtuais e as chances de paralisações globais teriam sido bastante reduzidas.”

O que dizemos

Infelizmente, isso pode se tornar o novo normal à medida que avançamos para um futuro de TI interconectado. Taticamente, os líderes empresariais devem avaliar outros agentes, ferramentas e produtos de terceiros que compartilham características semelhantes ao CrowdStrike, o que pode representar uma ameaça semelhante no futuro. Estabeleça planos de ação para mitigar essas ameaças. Os líderes empresariais devem integrar um “incidente do tipo CrowdStrike” em bibliotecas de cenários existentes. Enquanto isso, revisar as práticas de gerenciamento de risco de terceiros e tomar medidas para melhor identificar e monitorar aqueles com características semelhantes ao CrowdStrike.

Estrategicamente, as organizações devem continuar a investir em uma estrutura bem pensada — e testada — com a qual tomar decisões comerciais informadas durante um evento adverso. A única certeza é que a próxima interrupção será diferente da última. As organizações que se preparam para reação e recuperação responsivas e responsáveis ​​serão mais adequadas no futuro.

Conclusões

Um evento como o CrowdStrike quase certamente acontecerá novamente. Os líderes empresariais devem usar este incidente como uma oportunidade para reiniciar a resiliência tecnológica. As empresas que permanecerem vigilantes e tiverem os protocolos e planos adequados em vigor estarão mais preparadas para minimizar os danos generalizados, tendo em mente que suas organizações podem sofrer impactos secundários posteriores que podem não surgir por dias ou semanas. Esses impactos incluem atividades relacionadas à conformidade, problemas de integridade de dados, atividades de TI paralelas realizadas a partir de dispositivos de usuários finais que sofrem interrupção ou interrupção de atividades recorrentes que não concluíram um ciclo. Os líderes empresariais devem continuar a se concentrar em mudanças práticas que a organização pode fazer, como garantir que a cadeia de suprimentos de software seja o mais totalmente automatizada possível para minimizar o risco relacionado a erro humano, para se preparar melhor para a próxima interrupção tecnológica generalizada.

Sameer Ansari, Samir Datt e Andrew Retrum, da Protiviti, contribuíram para esta reportagem.

Em um mundo cada vez mais digital, a proteção de dados se tornou um dos principais desafios para as organizações. A exfiltração de dados, ou seja, a transferência não autorizada de informações, é uma ameaça real que pode causar prejuízos financeiros, danos à reputação e problemas legais.

Imagine um cenário onde um funcionário, prestes a se demitir, tenta exfiltrar dados confidenciais da empresa. Sem um sistema robusto de proteção de informações, ele pode imprimir documentos sensíveis, enviar informações para aplicações externas ou clouds pessoais, ou até mesmo utilizar dispositivos USB para copiar dados. Esse tipo de incidente pode resultar em sérios riscos.

Para prevenir incidentes como este, as organizações adotam soluções de Data Loss Prevention (DLP). DLP é um conjunto de ferramentas e processos usados para garantir que dados confidenciais não sejam acessados, compartilhados ou retirados indevidamente. Essas soluções monitoram, detectam e bloqueiam a transferência de dados sensíveis para fora do ambiente corporativo, seja intencional ou acidentalmente. Implementar um sistema de DLP eficaz é essencial para proteger a propriedade intelectual, manter a conformidade com regulamentações e proteger a reputação da empresa.

Quando não há um sistema de proteção de informações implementado, a empresa se torna vulnerável a várias formas de exfiltração de dados. Um funcionário pode:

O Microsoft Purview é uma solução abrangente não só de DLP (proteção de dados), mas também de governança dos dados, projetada para ajudar as organizações a gerenciar, proteger e governar seu patrimônio de informações. Como dito anteriormente, ele combina capacidades de DLP, conformidade e governança em uma plataforma unificada, oferecendo uma visão holística da segurança e conformidade das informações em toda a organização.

O Purview está embarcado em licenças Microsoft mas pode não estar sendo usado na sua organização. Por isso, configurá-lo e aplica-lo pode ser um meio rápido e barato para classificar e proteger os dados da sua empresa.

O conceito e a aplicação da governança e proteção de dados do Microsoft Purview é ampla e completa, considerando 3 pilares principais:

A Protiviti é parceira da Microsoft, com foco na designação de segurança. Temos equipe capacitada não só para otimizar o uso e custo das suas licenças Microsoft, mas também habilitar e configurar as ferramentas de privacidade e segurança de informações. Adotar o Microsoft Purview pode ser um atalho rápido e econômico para a sua organização proteger seus dados de forma eficiente e segura, garantindo a continuidade dos negócios e a proteção contra ameaças internas e externas.

Quando falamos de automação de processos, é comum que os colaboradores da empresa se sintam ameaçados. Afinal, não seria a primeira vez que pessoas perdem o emprego para máquinas. Além disso, o avanço de tecnologias de IA como o DALL-E e Chat-GPT conseguem criar conteúdo que pode ser considerado arte e nem sempre é possível diferenciar de criações humanas. Mas quais os benefícios do RPA para os colaboradores?

A adoção de RPA já é uma realidade, com previsão de crescimento a uma taxa de 32,8% entre 2021 e 2028. Por isso, é uma prioridade para organizações de diversos setores. Apesar disso, sua adoção ainda possui alguns desafios a serem superados. Alguns deles são a falta de conhecimento dos colaboradores sobre os possíveis impactos que a adoção do RPA pode ter em seu trabalho e a baixa aderência devido ao medo de serem substituídos por mão de obra digital. 

Por isso é importante destacar os benefícios do RPA aos colaboradores humanos. Confira a seguir 4 deles.

Benefícios do RPA para os colaboradores

1. Auxilia sem substituir 

Para automatizar um processo, ele deve possuir determinadas características. Podemos citar, por exemplo:

Essa lista deixa claro que um RPA não é adequado para realizar tarefas complexas que exijam alto grau de cognição e inteligência emocional. Um robô pode buscar palavras-chave em uma lista de conexões do LinkedIn, porém não poderá escolher o melhor candidato para a vaga. Qualquer decisão que exija algum tipo de análise subjetiva precisa de um ser humano. Assim, o RPA pode ser utilizado como um assistente que auxilia o colaborador, completando tarefas tediosas e cansativas que tomam muito tempo e são pouco produtivas quando executadas por um ser humano. 

Além disso, o colaborador que desempenha a tarefa antes da implementação do RPA será uma peça fundamental no desenvolvimento do robô, pois é quem vai fornecer todas as informações sobre o processo que será automatizado. 

2. Contribui para o desenvolvimento profissional 

Sabemos os limites da capacidade humana de manter a atenção a uma atividade monótona e repetitiva. Após algum tempo realizando tarefas desse tipo, o tédio e o cansaço se instalam e começamos a pensar em outras coisas enquanto ainda estamos executando a tarefa. A distração e o cansaço comprometem nosso poder de processamento, aumentando a chance de erros. 

Mas nossa cognição está equipada para lidar com situações mais interessantes do que preencher dezenas de formulários idênticos copiando e colando dados, ou faturar dúzias de Notas Fiscais Eletrônicas numa sequência repetitiva de cliques. Ou seja, ao delegar este tipo de tarefa para um RPA, os colaboradores focam em atividades mais criativas e desafiadoras, aumentando o engajamento e incentivando seu desenvolvimento profissional. Isso funciona ainda melhor se a empresa disponibilizar treinamentos e capacitação em conjunto com um bom plano de carreira. 

3. Uma RPA evita acúmulo de trabalho 

Um grande volume de tarefas frequentemente resulta em trabalho acumulado e uma equipe sobrecarregada, especialmente quando alguém do time precisa se ausentar por questões de saúde ou sai de férias. Neste caso o RPA prova seu valor, seja eliminando o trabalho acumulado ou evitando que o acúmulo ocorra em primeiro lugar. 

4. Aumenta a qualidade de vida no trabalho 

Funcionários altamente capacitados para funções complexas ganham mais autonomia no trabalho quando podem delegar tarefas simples e repetitivas para um RPA. Por isso, o aumento de autonomia alivia o esgotamento (burnout) [6] e aumenta a satisfação do colaborador. Isso faz todo o sentido quando levamos em consideração que as pessoas passam a ter a possibilidade de redescobrir seu propósito dentro da empresa e desempenhar papéis mais alinhados aos seus objetivos profissionais. Assim, o resultado de longo prazo será uma maior qualidade de vida no trabalho, com os benefícios do RPA ficando mais aparentes.

Vale ressaltar que é comum que trabalhadores humanos inicialmente torçam o nariz para o RPA, porém passem a ter uma atitude positiva após a implantação. As organizações que pretendem adotar esta tecnologia de automação devem ter transparência na comunicação com seus colaboradores antes de iniciar o processo, por exemplo, informando-os sobre como o RPA será um aliado, e não um inimigo. 

Por mais que estejamos vivendo uma era de digitalização do trabalho, os recursos mais preciosos de qualquer organização são as pessoas. Portanto é indispensável que exista sinergia entre mão de obra humana e a mão de obra digital. Os benefícios do RPA como ferramenta de auxílio para colaboradores humanos, alinhada a uma cultura de valorização dos recursos humanos, tem o potencial de gerar benefícios que se traduzirão em equipes mais felizes e engajadas. 

*Cristiane dos Santos Costa é consultora de Automação Inteligente de Processos na Protiviti, empresa especializada em soluções para automação e digitalização de processos, compliance, investigação, gestão de riscos, proteção e privacidade de dados.

Fontes de consulta

[1] Costa, S. A. S., Mamede, H. S., & Silva, M. M. (2022). Robotic Process Automation (RPA) adoption: a systematic literature review. Engineering Management in Production and Services, 14(2), 1-12. doi: 10.2478/emj-2022-0012 

[2] Khatib, M. , Almarri, A. , Almemari, A. and Alqassimi, A. (2023) How Does Robotics Process Automation (RPA) Affect Project Management Practices. Advances in Internet of Things, 13, 13-30. doi: 10.4236/ait.2023.132002

[3] Moreira, S; Mamede, H. S.; Santos, A. CENTERIS – International Conference on ENTERprise Information Systems / ProjMAN – International Conference on Project MANagement / HCist – International Conference on Health and Social Care Information Systems and Technologies 2022. Procedia Computer Science 219 (2023) 244–254. 

[4] Why do we make mistakes in repetitive tasks? Podcast. Disponível em: <https://www.thenakedscientists.com/articles/questions/why-do-we-make-mistakes-repetitive-tasks> 15 September 2015. 

[5] OKOYE, Casmir Ikenna; TRUONG, Duc; WARMATE, Fidelis. Robotic Process Automation and its effect on Employees’ Attitude and Behaviour. 

[6] Zhu, Y.-Q. and Kanjanamekanant, K. (2023), “Human–bot co-working: job outcomes and employee responses”, Industrial Management & Data Systems, Vol. 123 No. 2, pp. 515-533. https://doi.org/10.1108/IMDS-02-2022-0114 

[7] H. Harmoko, A. J. Ramírez, J. G. Enr´ıquez, and B. Axmann, ”Identifying the Socio-Human Inputs and Implications in Robotic Process Automation (RPA): A Systematic Mapping Study,” in International Conference on Business Process Management, 2022: Springer, pp. 185-199. 

O que é Ownership Design e como ele pode evitar problemas comuns na TI?

Isso soa familiar? É sexta-feira, 16h, quando chega uma mensagem frenética do COO: “ninguém está conseguindo acessar o CRM. Por um acaso você começou uma atualização de fim de semana mais cedo ou algo parecido?”. Depois de realizar uma investigação (e ligar para casa para avisar que o planejamento do fim de semana se foi), você descobre que existe uma aplicação obsoleta em execução, que não possui mais suporte pelo fornecedor nem as atualizações recentes. Tempos atrás, o time de TI teve que passar por diversos obstáculos só para conseguir colocar essa aplicação em execução, pois era o que a área de negócios desejava.

Agora são 18h30, e todos os envolvidos estão reunidas em uma reunião no Teams. A área de negócios culpa o time de TI por não conseguir manter os sistemas operando. O time de TI culpa a área de negócios por insistir em utilizar um software obsoleto só porque “é o que usamos há décadas”. A chamada acaba. São 19h30 e, a despeito dos gritos e do apontamento de dedos, nenhum progresso foi feito. Você diz em voz alta: “ninguém quer tomar a questão para si. Onde está a responsabilidade?”. Isso soa familiar?

O que aconteceu?

Embora algo como a situação acima aconteça em diferentes tipos de organizações, de vários setores do mercado, ela tem uma causa raiz: Ownership Design. Compreendendo o conceito de Ownership Design, conseguimos ajudar a minimizar estes problemas e, por fim, alcançar a eficiência no ambiente geral de TI.

O que é Ownership Design?

Ownership Design, em tradução livre, seria o design e a implementação do famoso “sentimento de dono”). Ou seja, é, simplesmente, uma maneira de orientar com precisão o comportamento dos colaboradores, usando regras cuidadosamente projetadas, que definem como as pessoas assumem a responsabilidade das coisas.

Mas como? Aqui vai um exemplo real:

Todos nós gostamos de compartilhar nossas contas da Netflix – membros da família, vizinhos, colegas e até mesmo estranhos! Ainda que muitos usuários não percebam, compartilhar contas da Netflix pode ser um crime federal sob a Lei Fraude e Abuso de Computador (leis criminais a respeito de crimes cometidos com auxílio de computador nos Estados Unidos) e punível com até um ano de prisão. No entanto, o CEO da Netflix, Reed Hastings, transformou isso em uma oportunidade de marketing, dizendo: “adoramos que as pessoas compartilhem a Netflix”.

Isso pode soar contraintuitivo – uma empresa não deveria exigir que todos pagassem por seu próprio acesso? Ao permitir que as pessoas compartilhem suas contas, a Netflix espera que essas pessoas se tornem obcecadas com seus programas e eventualmente adquira sua própria assinatura. E essa estratégia de Ownership Design foi bem-sucedida.

Também conhecido como “roubo tolerado”, está é uma das muitas maneiras pelas quais o Ownership Design pode moldar o comportamento das pessoas.

Problemas comuns de Ownership Design

Aqui estão alguns dos problemas comuns de Ownership Design que podem ser encontrados em muitas organizações:

“Eu colho, você semeia”

A área de negócios quer uma aplicação, mas é o time de TI o responsável por implementá-la. Quando as coisas vão bem, o negócio se beneficia. Quando algo dá errado, é sempre culpa da TI. Então, o que está errado?

Se analisarmos esta questão pela ótica do Ownership Design, uma das causas raiz é o desalinhamento de interesses. Nessa relação, o interesse da área de negócios é uma aplicação melhor, o que exige mais esforços da TI. Enquanto isso, a TI opera com sua própria agenda crítica, e ao desviar esforços para um trabalho adicional, acaba por fornecer pouco ou nenhum benefício. Sendo assim, acaba gerando mais políticas e requisitos, como Acordos de Nível de Serviço (SLAs), que podem ser estabelecidos para forçar a TI a fornecer uma “melhor” qualidade de serviço. A realidade é que isso só funciona no papel.

Uma solução comum é o modelo chargeback (“cobrança retroativa”) . Isso permite que TI aloque seu orçamento para unidades de negócios específicas em vez de centralizá-lo em um único departamento, o que essencialmente torna as despesas rastreáveis, aumentando a transparência.

“Nuvem: um passe livre para a isenção de responsabilidade”

Mais e mais organizações estão migrando para a nuvem. Algumas delas adotam “cloud-first” (conceito de nuvem desde a concepção do projeto, o que pode trazer ganhos financeiros e eficiência operacional). A adoção da nuvem não apenas torna os limites da rede cada vez mais ambíguos, mas também torna o a definição de responsabilidades equivocada. Durante uma avaliação de segurança, a o departamento de TI em muitas organizações pode dizer: “Esta é uma plataforma em nuvem, não gerenciada por nós. Esse fornecedor de nuvem tem uma ótima reputação, então todos os usam.”. Dessa forma, a nuvem é usada quase como um passe livre para a isenção de responsabilidade.

E aqui está o problema: isso não é verdade. A história nos ensinou que uma má implementação pode minar uma grande tecnologia. Neste caso, entra a delegação de responsabilidades.

Para superar esse problema, uma organização deve garantir que os colaboradores entendam quais são suas responsabilidades. Muitos provedores de serviços de nuvem já possuem documentações que podem ser usadas como referência. Por exemplo, a AWS tem um modelo de atribuições compartilhadas que descreve como as responsabilidades são compartilhadas entre eles e os clientes.

“Construa uma comunidade, não silos”

A governança tradicional de TI nos diz para definir claramente as propriedades, as funções e as responsabilidades. Geralmente, isso acaba fazendo com que as pessoas gastem mais tempo para encontrar alguém para culpar, transformando a governança de TI em um jogo de apontar dedos. Agora, vamos parar e realizar uma análise da realidade: quantas dessas funções e responsabilidades foram implementadas com sucesso de maneira assídua?  

A governança excessivamente sofisticada apenas cria um fardo a ser imposto, gerando um ambiente de tensão em vez de criar um senso de comunidade. Somos todos humanos, e nossas práticas de negócios devem levar em conta isso. Um típico exemplo desta situação é a classificação da informação e rotulagem de dados. Muitas reuniões de governança de dados se transformam em jogos de apontar o dedo sobre quem deve aplicar rótulos e como esses rótulos devem ser aplicados. Em seguida, os usuários são culpados por não aplicarem corretamente os rótulos. Isso fere os sentimentos de todos!

Em vez de uma abordagem simples e direta, a governança de TI precisa funcionar mais como um balizador . Você pode aumentar ou diminuir a baliza, conforme necessário. Isso também é conhecido como “ambiguidade projetada”. Usando novamente a classificação da informação como um exemplo, na maioria das organizações, quão realista é para um usuário memorizar páginas de definições e categorizar adequadamente a sua sensibilidade toda vez que um documento é criado? Os fatores humanos devem ser levados em consideração – nós todos somo ocupados (e um pouco preguiçosos de vez em quando). Pode ser mais eficaz fornecer uma “regra prática” definida aos usuários para esta classificação, em vez de políticas excessivamente sofisticadas. Quando as tecnologias automatizadas estiverem prontas, uma opção é transferir a imposição desta responsabilidade para tecnologias automatizadas que possam entender o contexto de um documento em vez de simplesmente combinar padrões. Por exemplo, utilizar a IA para categorizar os dados com base nessas regras sofisticadas de uma maneira muito mais confiável. Afinal, a IA deve ser imune a algumas de nossas falhas humanas.

Use o Ownership Design como uma ferramenta

Os exemplos discutidos aqui são apenas a ponta do iceberg. Problemas de Ownership Design podem ser encontrados em toda governança de TI e, muitas vezes, podem ser as causas subjacentes de muitos problemas de governança de TI. Infelizmente, isso se deve à natureza humana, porque é inerente à nossa natureza perguntar: “o que eu ganho com isso?”.

Não se deixe enganar pelo termo Ownership Design. Não é uma abordagem simples. Em vez disso, deve ser usado como um balizador: você deve aumentar ou diminuir esta baliza, conforme necessário. O objetivo final nunca é ter uma designação clara de quem possui o quê, mas sim usá-lo como uma ferramenta para moldar o comportamento das pessoas. E quando usado corretamente, o Ownership Design pode ser uma ferramenta extremamente poderosa.

*Jacky GuoEric Mauser, Gerentes de Segurança e Privacidade da Protiviti INC.

Fonte: “Not My Problem” – The Oversight of Ownership Design – Technology Insights Blog (protiviti.com)

Danos à reputação, resgates pesados ​​e continuidade dos negócios são as principais preocupações com o ransomware. Mas o cerne da conversa é sobre a potencial perda de propriedade intelectual e informações de clientes e o espectro de negociações desagradáveis ​​com criminosos e outras partes que podem ou não ser patrocinadas por atores de estados-nação. O mercado ainda não sabe o número e a abrangência desses ataques, pois poucas empresas vitimadas por eles têm interesse em compartilhar suas experiências. No entanto, as estimativas dos custos totais de ransomware nos Estados Unidos chegam a US$ 20 bilhões em 2021. Várias coisas são claras: poucas empresas estão totalmente protegidas e nenhuma empresa se sente segura contra ransomware. E todas as empresas, independentemente do tamanho ou localização, são vulneráveis.

Os agentes de ameaças de ransomware de hoje se concentram na interrupção. Seu modelo é penetrar, extrair, criptografar e exigir resgate rapidamente, por exemplo, tudo em questão de minutos. As vítimas que se recusam a pagar extorsão devem se preparar para divulgações públicas de dados extraídos. Ou seja, os jogadores desonestos acabam controlando a empresa.

Ransomware: ataques cada vez mais sofisticados

À medida que os ataques e os próprios invasores se tornam cada vez mais sofisticados e as consequências continuam a aumentar, as empresas devem aprender e responder na mesma moeda. Para se adaptar com confiança a esse cenário de ameaças em evolução, eles devem combinar resiliência operacional, inteligência de ameaças cibernéticas e segurança cibernética. Mas isso não é fácil. Há muitas partes móveis a serem consideradas ao construir um sistema de defesa cibernética robusto, coerente e dinâmico que responda ao cenário de ataque com foco e velocidade.

Dada a complexidade e a dinâmica das exposições de ransomware, o que os membros do conselho podem fazer para ajudar suas organizações a enfrentar o desafio de analisar riscos e proteger ativos críticos? Seguem quatro sugestões:

Preparar o diretor de segurança da informação (CISO) para o sucesso no combate ao ransomware

Como os CISOs desempenham um papel essencial para a segurança de alguns dos ativos mais importantes da empresa, o conselho precisa fazer sua parte. É papel importante esclarecer as expectativas, educando-se sobre as questões, permitindo tempo suficiente de agenda para discussão e prestando atenção quando recursos e orçamentos adicionais são solicitados. Ao transmitir suas preocupações, os diretores auxiliam o CISO a focar os preparativos, prioridades e métricas para a diretoria. Assim, se o conselho atribuir um tempo limitado na agenda para a discussão cibernética, o conselho ou o presidente do comitê deve permitir que o CISO entregue a mensagem em resposta às expectativas declaradas e faça perguntas que exijam uma resposta mais detalhada offline. Idealmente, o CISO deve ser um parceiro estratégico no nível do conselho, com interfaces necessárias entre reuniões com diretores interessados e apoio ativo do presidente do conselho e do CEO

Organize o conselho para uma supervisão eficaz da segurança cibernética anti ransomware

Quando ocorre um ataque de ransomware, o conselho inteiro geralmente está envolvido até que o problema seja resolvido e a integridade do sistema seja restaurada. A manutenção dessa integridade no futuro é o foco principal do conselho ou de um comitê designado do conselho. Embora o CISO seja responsável pela resposta operacional e a gestão da empresa seja responsável por sua eficácia, os diretores devem esperar obter a confiança dos briefings do CISO de que o plano de resposta daqui para frente e quaisquer fornecedores terceirizados contratados para ajudar em sua implementação reflitam as lições aprendidas com ataques anteriores e avaliações contínuas do cenário de ameaças. 

Como a tecnologia é agora uma conversa estratégica, o conselho deve avaliar periodicamente se precisa de acesso a conhecimentos adicionais. Seja como membro ou consultor objetivo do conselho. As opções relevantes para estruturar as consultas do conselho dependem da gravidade do cenário de ameaças, do papel da tecnologia na execução da estratégia de negócios da empresa e da sensibilidade dos sistemas e dados que suportam o modelo de negócios.

ransomware

Faça as perguntas certas — E não negligencie terceiros ao fazer as perguntas certas

Muitos conselhos procuram entender como os ataques de ransomware ocorreram em outros lugares e se os cibercriminosos podem explorar esses mesmos métodos em suas organizações. Por isso, os diretores não devem subestimar a importância de fazer as perguntas certas à gestão sobre consciência situacional, estratégia e operações, ameaças internas, resposta a incidentes e tópicos relacionados. Sobre ransomware, os diretores devem se concentrar na avaliação de comprometimentos e na resposta e preparação a incidentes. Mas, além disso, o foco deve estar em uma visão de ponta a ponta da empresa. Um ataque de ransomware a terceiros que lidam com sistemas críticos e dados confidenciais pode interromper a operação, assim como um ataque direto à empresa.

Apoie a conversa com um painel de métricas apropriadas

Métricas relevantes podem incluir o número de vulnerabilidades do sistema, o tempo necessário para implementar patches, o número de violações, o tempo de permanência do invasor (o tempo necessário para detectar uma violação), o tempo necessário para responder a uma violação, o tempo necessário para remediar as descobertas da auditoria, a porcentagem de violações perpetradas por terceiros e o número de violações de protocolos de segurança. Ou seja, o tempo de permanência do invasor é particularmente crítico para um ataque de ransomware. Quanto mais tempo os invasores permanecerem indetectados em uma rede, maior a probabilidade de encontrarem sistemas e recursos que possam utilizar para resgate. Por isso, relatórios e métricas do CISO devem fazer parte das comunicações do conselho e ser integrados ao painel de gerenciamento de riscos corporativos (ERM).

Os invasores de ransomware de hoje geralmente são bem financiados, possuem experiência em negócios e são altamente qualificados em métodos de hackers. Além disso, precisamos dizer que eles jogam duro. Embora o conselho não seja responsável pelos detalhes operacionais do dia-a-dia, suas responsabilidades de dever de cuidado no espaço cibernético são significativas. Isso por conta da sensibilidade dos dados e o valor para os acionistas da propriedade intelectual, reputação e imagem da marca da empresa.

Fonte: Protiviti INC Blog. Ransomware: Analyzing Risk and Protecting Critical Assets | Protiviti – United States