Inteligência Artificial (IA) e Resiliência Cibernética: Insights para o Board, CEO, CIO e CISOs
19 de fevereiro de 2024À medida que as organizações correm para adotar novas tecnologias, como a inteligência artificial generativa (IA), é necessária uma compreensão básica das implicações de curto, médio e longo prazo destas tecnologias para a sua postura de resiliência cibernética
O presente artigo busca discutir os impactos das tecnologias emergentes como Artificial Intelligence (AI) e Machine Learning (ML) na resiliência cibernética das organizações. Trazendo uma construção lógica que destaca o tema como um fator crítico de sucesso para organizações, ressaltando a importância dos líderes de negócio (Boards, VPs, C-Level) e líderes de segurança (CISOs, CSOs, BISOs) como viabilizadores da adoção segura, transparente e responsável das referidas tecnologias emergentes.
Recente publicação do Fórum Econômico Mundial (WEF) de 2024, Global Cybersecurity Outlook 2024, destacou as principais tendências que os executivos precisarão navegar em 2024, com destaque para a(s):
- Crescente desigualdade cibernética entre organizações que atingiram a resiliência cibernética e aqueles que não atingiram tal status.
- A escassez de competências cibernéticas e talentos no setor que tem aumentado em um ritmo alarmante.
- O alinhamento entre líderes de segurança cibernética (CISO, CSO, BISO) e líderes de negócios (Conselhos de Administração, CEOs) que tem torna-se mais comum nas organizações.
- O gerenciamento do risco cibernético da cadeia de suprimentos está se tornando mais problemático.
- As tecnologias emergentes (Inteligência Artificial Generativa – AI) que irão exacerbar os desafios de longa data relacionados à resiliência cibernética.
Dentre os temas, a temática de tecnologias emergentes apresenta-se como fator crítico de sucesso para sobrevivência, desenvolvimento e sucesso organizacional na nova economia digital. Tornando-se mandatório que os membros Conselhos de Administração, Boards, CEOs, CIOs e CISOs busquem dominar em um nível estratégico e tático as tecnologias emergentes para maximizar as oportunidades e minimizar os riscos advindos de tais tecnologias.
Destacando-se alguns pontos da referida pesquisa a respeito das organizações que serão capazes de lidar com sucesso com as tecnologias emergentes:
À medida que as organizações correm para adotar novas tecnologias, como a inteligência artificial generativa (IA), é necessária uma compreensão básica das implicações de curto, médio e longo prazo destas tecnologias para a sua postura de resiliência cibernética.
Menos de 1 em cada 10 entrevistados acredita que nos próximos dois anos a IA generativa dará vantagem aos defensores sobre os atacantes.
Aproximadamente metade dos executivos afirmam que os avanços nas capacidades adversárias (phishing, malware, deepfakes) apresentam o impacto mais preocupante da IA generativa na cibersegurança.
AS TECNOLOGIAS EMERGENTES QUE IMPACTARÃO AS ORGANIZAÇÕES
Uma breve análise dos dados do gráfico nos aponta que tanto os lideres de negócios quanto os líderes de segurança acreditam que nos próximos 2 anos o emprego da IA generativa no campo da segurança cibernética trará vantagens para os atacantes (55.9%), seguidos por aqueles que acreditam que haverá um equilíbrio entre o uso da tecnologia emergente pelos atacantes e defensores (35.1%) e apenas (8.9%) dos líderes acreditam os defensores estarão em vantagem com o uso da IA generativa no campo da segurança cibernética.
Cabendo destacar como principais preocupações dos líderes sobre o emprego da IA generativa no campo da cibersegurança:
- Avanço das capacidades adversárias – phishing, desenvolvimento de malware e deepfakes (46%).
- Vazamentos de dados – exposição de informações pessoalmente identificáveis através de IA generativa (20%).
- Maior complexidade da governança de segurança (9%).
- Segurança cibernética dos próprios sistemas de IA (8%).
- Cadeia de suprimentos de software e os riscos de desenvolvimento de código – possíveis backdoors (8%).
- Preocupações legais de propriedade intelectual e responsabilidade (8%).
Pontos reforçados pela recente pesquisa da Gartner, as principais tendências tecnológicas estratégicas para 2024, que discute a adoção de novas tecnologias que podem impulsionar os objetivos de negócios na era da rápida evolução da Inteligência Artificial (IA), bem como sugere que a implementação sinérgica de algumas inovações podem contribuir para criar, proteger e agregar valor para os clientes da organização. Agrupando as 10 tendências tecnológicas estratégicas em três grandes categorias: Proteção dos investimentos, Ascensão dos desenvolvedores e Fornecimento de valor aos clientes.
- Gestão da confiança, risco e segurança da IA (AI TRiSM). Inteligência artificial como parceira do negócio.
- Gestão contínua de exposição a ameaças (CTEM). Esteja seguro.
- Tecnologia sustentável. Proteja o futuro.
- Engenharia de plataforma. Autoatendimento orientado aos desenvolvedores.
- Desenvolvimento aumentado com IA. Acelere a criação.
- Plataformas do setor na nuvem. Customize o trabalho da sua personalização.
- Aplicativos inteligentes. Otimize a tomada de decisões.
- IA generativa democratizada. Força e responsabilidade.
- Força de trabalho conectada aumentada. Pressione os pioneiros.
- Clientes-máquina. Compradores com byte(s).
PRINCIPAIS TENDÊNCIAS TECNOLÓGICAS ESTRATÉGICAS PARA 2024
Cabendo um aprofundamento sobre as tendências apontadas na pesquisa que foram agregados na categoria: proteção de seus investimentos em AI, onde os pesquisadores sugerem que para garantir o impacto dos seus investimentos de tecnologia, devemos ser:
- Deliberados: “Pare todos os testes descontrolados sem uma direção clara. Os esforços devem ser intencionais e produzir resultados sólidos para uso diário“.
- Realistas: “Calcule o retorno sobre o investimento (ROI) de projetos, levando em consideração as medidas de proteção necessárias inicialmente“.
- Voltados para o futuro: “Personalize as inovações tendo em mente a reutilização, protegendo seus direitos, ou seja, propriedade intelectual e propriedade das criações, e uma posição sólida no futuro.”
As tendências de TI que pertencem a essa categoria são:
Gestão da Confiança, Risco e Segurança de IA (AI TRiSM)
Gestão contínua de exposição a ameaças (CTEM)
Plataformas do setor na nuvem.
IA generativa democratizada
Destacando-se as palavras do vice-Presidente Bart Willemsen da Gartner sobre as principais tendências tecnológicas estratégicas para 2024, que afirma:
“Disrupções tecnológicas e incertezas socioeconômicas exigem uma disposição para agir com ousadia e estrategicamente melhorar a resiliência, em vez de depender de respostas ad hoc. Os líderes de TI precisam garantir o risco calculado e fazer investimentos seguros e sólidos para habilitar de forma sustentável a geração de valor interno e externo.”
Diante dos pontos apresentadas pelo Fórum Econômico Mundial (WEF), em sua publicação Global Cybersecurity Outlook 2024, bem como pela Gartner, em sua publicação as principais tendências tecnológicas estratégicas para 2024, sobre o impacto das tecnologias emergentes (Inteligência Artificial Generativa – AI) nas organizações contemporâneas, surge para os líderes de negócio (Board, VPs, Diretores) e os líderes de segurança (CISO, CSO, BISO) grandes oportunidades para o emprego das referidas tecnologias no aumento da resiliência cibernética das organizações com geração de valor para os clientes internos e externos das organizações inseridas na nova economia digital.
Dessa forma, considerando outra tendência apontada pela pesquisa do Fórum Econômico Mundial (WEF) de 2024, Global Cybersecurity Outlook 2024, sobre:
“O alinhamento entre líderes de segurança cibernética (CISO, CSO, BISO) e de negócios (Conselhos de Administração, CEOs) está se tornando mais comum nas organizações.
Bem como a importância do comprometimento do Board na disseminação de uma cultura de responsabilidade cibernética corporativa, como apontado nas palavras da Diretora da CISA Jen Easterly :
We need a new model of sustainable cybersecurity. One that starts with a commitment at the board level to incentivize a culture of corporate cyber responsibility in which managing cyber risk is treated as a fundamental matter of good governance and good corporate citizenship.
Ponto reforçado pela publicação Director’s Handbook on Cyber-Risk Oversight by NACD and Internet Security Alliance, que aponta que os membros do Conselho de Administração (Board) têm o poder único para impulsionar a cultura de responsabilidade cibernética corporativa, devendo:
- Garantir que os CISOs estejam totalmente capacitados, com a influência e os recursos necessários para conduzir decisões onde a segurança cibernética seja efetivamente priorizada e não subordinada ao custo, ao desempenho e à velocidade de colocação no mercado.
- Garantir que os seus pares e os executivos seniores que supervisionam tenham uma boa formação sobre o risco cibernético, que as considerações de segurança cibernética sejam devidamente priorizadas em todas as decisões empresariais e tecnológicas e que as decisões de aceitar, em vez de mitigar, os riscos cibernéticos sejam examinadas detalhadamente.
- Garantir a revisão do cenário de gestão do risco cibernético da sua empresa e assegurar o desenvolvimento de um conjunto comum de normas que as suas empresas possam utilizar para determinar e medir a sua exposição ao risco de segurança cibernética.
- Garantir que os limiares para a comunicação de potenciais atividades maliciosas à gestão superior não sejam demasiado elevados; em vez disso, devem ser informados sobre os “quase acidentes”, bem como sobre as tentativas de intrusão bem-sucedidas, uma vez que esses quase acidentes estão entre os sinais mais importantes para avaliar a qualidade das defesas de uma empresa e a sua reação aos incidentes.
- Finalmente, assegurar que os membros do conselho defendam ativamente um modelo de colaboração entre o público-privado que pressuponha uma um padrão em que a informações sobre atividades maliciosas sejam partilhadas proativamente entre as instituições com expectativas de que o governo seja receptivo e agregue valor, e que a indústria não sofra sanções punitivas em função da partilha das informações.
Dessa forma, discutidos os argumentos prévios como a importância do constante alinhamento entre os líderes de negócio e líderes de segurança e o papel central dos Board na disseminação de uma cultura de responsabilidade cibernética corporativa, apresenta-se um conjunto de questões que podem ser exploradas pelos líderes de negócios (Boads, VPs e CEOs) e líderes de segurança (CISOs, CSOs, BISOs) no momento da decisão da organização sobre o uso geral de AI/ML, bem como uso específico da AI/ML para fins de segurança cibernética, consolidados na publicação: Director’s Handbook on Cyber-Risk Oversight by NACD and Internet Security Alliance:
Questões gerais para o Board considerar sobre o uso geral de Inteligência Artificial (IA) e Machine Learning (ML)
1. Qual é o objetivo da empresa ou organização ao empregar este sistema?
2. Qual é o plano para construir ou implantar este aplicativo de IA ou ML de forma responsável?
3. Que tipo de sistema a empresa está usando: automação de processos, insight cognitivo, engajamento cognitivo ou algum outro tipo? Nosso conselho de administração entendem como esse sistema funciona?
4. Quais são os benefícios econômicos do sistema escolhido?
5. Quais são os custos estimados da não implementação de tal sistema?
6. Existem alternativas potenciais aos sistemas de IA ou ML em questão?
7. Quão fácil será para um adversário executar um ataque ao sistema com base nas características técnicas?
8. Qual é a estratégia da organização para validar as práticas de coleta dos conjuntos de dados?
9. Como a empresa evitará imprecisões que possam existir no conjunto de dados (BIAS)?
10. Quais serão os danos causados por um ataque ao sistema em termos impacto, probabilidade e das ramificações do ataque?
11. Com que frequência a empresa revisará e atualizará suas políticas de dados?
12. Qual é o plano de resposta da organização para ataques cibernéticos envolvendo estes sistemas?
13. Qual é o plano da empresa para auditar o sistema de IA?
14. A empresa deve criar uma nova equipe para auditar o sistema de IA ou ML?
15. A empresa deve criar um programa educacional para que seus funcionários aprendam sobre o uso e os riscos da IA e do ML em geral?
Questões específicas para o Board considerar sobre o uso específico de IA e ML empregados para fins de segurança cibernética
1. Qual é o roteiro geral da empresa para implementar IA e/ou ML na segurança cibernética?
2. Quais são os objetivos de segurança cibernética que a organização está tentando alcançar ao implementar esta solução de IA ou ML?
3. Como o sistema irá robustecer a postura de segurança das empresas? Como o sucesso será medido?
4. Qual é o dano estimado que a empresa enfrentará sem o sistema?
5. Quais são as novas vulnerabilidades de segurança cibernética que a empresa enfrentará ao utilizar o sistema?
6. Que tipo de ataque cibernético o sistema foi projetado para detectar, prever e responder?
7. O sistema está preparado para detectar e resistir a um ataque de ransomware?
8. Como a implementação de tal sistema afetaria a equipe de segurança cibernética da organização? Quais são os benefícios e riscos associados ao uso da ferramenta pela equipe?
9. A empresa deve expandir ou atualizar a atual equipe de segurança cibernética?
10. Quanto custaria para a empresa criar uma nova equipe de segurança cibernética?
11. Há algum cargo de que a empresa não precisa mais devido ao emprego do sistema de segurança cibernética de IA ou ML?
12. A empresa deve criar uma subequipe para monitorar os resultados e conclusões do novo sistema?
13. A implementação de tal sistema afetará as cláusulas contratuais do seguro cibernético contratado pela empresa?
14. Existem possíveis consequências jurídicas da não implementação de IA ou ML num sistema de segurança cibernética?
Por fim, cabe destacar que os temas de tecnologias emergentes, Inteligência Artificial (IA), Machine Learning (ML), Resiliência Cibernética e Segurança Cibernética seguem como focos de atenção, alocação de recursos, e grande preocupação por parte de organizações públicas e privadas no Brasil e no mundo. Cabendo aos líderes de negócios e líderes de segurança a compreensão dos impactos das tecnologias emergentes na estratégia de negócios, as discussões sobre a adoção segura, transparente e responsável das referidas tecnologias, além da constante busca pelo aumento da maturidade e resiliência cibernética das organizações.
Glossário
Inteligência Artificial (IA) : Inteligência Artificial (AI), um termo cunhado pelo professor emérito de Stanford, John McCarthy, em 1955, foi definida por ele como “a ciência e a engenharia de fabricação de máquinas inteligentes”. Muitas pesquisas mostram que os humanos programam máquinas para se comportarem de maneira inteligente, como jogar xadrez, mas, hoje, enfatizamos máquinas que podem aprender, pelo menos um pouco como os seres humanos fazem“.
Machine learning (ML): “Aprendizado de máquina (ML) é a parte da IA que estuda como os agentes de computador podem melhorar sua percepção, conhecimento, pensamento ou ações com base na experiência ou nos dados. Para isso, o ML recorre à ciência da computação, estatística, psicologia, neurociência, economia e teoria de controle”.
Resiliência cibernética: Uma dimensão da gestão do risco cibernético, representando a capacidade dos sistemas e organizações para desenvolver e executar estratégias de longo prazo para resistir a eventos cibernéticos e ou a capacidade de uma organização de manter, construir e entregar de forma sustentável os resultados de negócios pretendidos, apesar de eventos cibernéticos adversos em seus ambientes internos e externos.
Risco cibernético: Evento de perda provável que se materializa quando uma ameaça cibernética afeta um ativo de valor e resulta em um impacto material em uma organização. O risco cibernético pode ser medido como a frequência provável e o impacto provável de um evento de perda.
Segurança cibernética: O conjunto de atividades que protegem redes, dispositivos e dados contra acesso não autorizado ou uso criminoso. Buscando garantir a confidencialidade, integridade e disponibilidade de informações e sistemas com adequada entrega de serviços.
Sou Leonardo Ferreira especialista em privacidade, proteção de dados pessoais, segurança da informação e segurança cibernética do Governo Digital (Gov.Br) com mais de 30 anos de experiência nas áreas pública e privada no Brasil.
Professor associado à Fundação Getulio Vargas responsável pelas disciplinas de segurança da informação e segurança cibernética, além de palestrante no Brasil e no mundo em eventos de privacidade, proteção de dados pessoais, segurança da informação, segurança cibernética e inteligência artificial em cibersegurança.
Referências
- Global Cybersecurity Outlook 2024. Global Cybersecurity Outlook 2024 | World Economic Forum (weforum.org)
- As 10 principais tendências tecnológicas estratégicas para 2024 (gartner.com.br).
- Director’s Handbook on Cyber-Risk Oversight by NACD and Internet Security Alliance.
- Principles for Board Governance of Cyber Risk. Principles for Board Governance of Cyber Risk | World Economic Forum (weforum.org)
- Christopher Manning, Stanford University Human-Centered Artificial Intelligence, Artificial Intelligence Definitions (September 2020). (https://hai.stanford.edu/sites/default/files/2020-09/AI-Definitions-HAI.pdf)
Sobre Leonardo Ferreira
Leonardo Ferreira, LinkedIn Top Voice | Diretor de Privacidade e Cibersegurança, Segurança da Informação do Governo Digital MGI/Gov.Br, | CISO e DPO | Professor | Palestrante | Mentor | Colunista do Crypto ID | (ISC)² CC
Leia outros artigos de Leonardo Ferreira, em sua coluna aqui!
Entrevista com Leonardo Ferreira, Diretor de Privacidade e Segurança da Informação do MGI
Resiliência cibernética: Insights para o Board, CEO, CIO e CISOs. Por Leonardo Ferreira
Inteligência Artificial (IA) e Resiliência Cibernética: Insights para o Board, CEO, CIO e CISOs
Transformação digital governamental requer cuidados com a segurança da informação
Acompanhe o melhor conteúdo sobre Inteligência Artificial publicado no Brasil.
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!