Opinião do Especialista Segurança da Informação

O Papel Transformador da IA na Segurança Digital

Publicado por Paulo Pagliusi

Olá, meus Tripulantes Cibernéticos. A perspectiva dos brasileiros sobre a Inteligência Artificial (IA) é majoritariamente otimista, embora as empresas no país ainda hesitem em adotá-la devido a preocupações com segurança.

Questões sobre como iniciar diálogos a respeito da IA, sua segurança e os riscos associados são comuns, especialmente porque a IA tem o potencial de aumentar a eficiência e produtividade dos desenvolvedores. Entretanto, existe uma preocupação entre os líderes empresariais sobre os possíveis problemas de segurança e gerenciamento de riscos que podem surgir.

Apesar dessas preocupações, é fundamental reconhecer que as áreas de cibersegurança e desenvolvimento de software já estão acostumadas a integrar tecnologias inovadoras para reforçar a segurança do ecossistema de software.  Um estudo da KPMG sobre a confiança na IA no Brasil mostrou que 84% dos participantes consideram a tecnologia confiável, um índice superior à média global de 61%. Adicionalmente, 93% dos brasileiros têm expectativas positivas quanto aos benefícios da IA, a maioria vendo-a como uma tecnologia confiável e que cumpre o que promete.

Esse otimismo é um reflexo do crescimento da comunidade de desenvolvedores na América do Sul e do interesse crescente pela IA. O relatório State of the Octoverse de 2023, divulgado pelo GitHub, coloca os desenvolvedores brasileiros em sexto lugar mundial em termos de contribuições para projetos de IA generativa, evidenciando a crescente demanda por essa tecnologia.

Revolução da Segurança com IA

A IA está tornando a segurança proativa, ou “shift left” , uma prática viável, ao possibilitar a identificação e prevenção de vulnerabilidades no código antes de se tornarem um problema. Ela oferece um contexto para falhas potenciais e sugestões de código seguro desde o início, embora seja crucial ainda realizar testes no código gerado pela IA. Essa capacidade transforma a forma como o código é desenvolvido, realizando a promessa de uma segurança incorporada desde o início do processo de desenvolvimento. Este avanço é significativo. Tradicionalmente, o conceito de “shift left”; envolvia a incorporação de feedback de segurança nas fases iniciais do desenvolvimento de software. Com a IA, a segurança é efetivamente integrada ao processo, não apenas adicionada posteriormente. Esta abordagem representa uma era nova e empolgante, onde a tecnologia generativa desempenha um papel central na defesa cibernética.

Adoção da IA nas Empresas

Embora muitas equipes já estejam experimentando os benefícios da IA em termos de produtividade, ainda existem dúvidas sobre como integrar essas ferramentas de forma segura. Aqui estão três práticas recomendadas para empresas que desejam adotar IA enquanto protegem seus ativos críticos:

1. Abordagem Normalizada para Ferramentas de IA: Assim como com outras tecnologias, é importante avaliar ferramentas de IA usando frameworks de segurança e risco já estabelecidos, adaptando-os conforme necessário. Solicitar informações detalhadas sobre a segurança e maturidade da ferramenta, como diagramas de fluxo de dados e relatórios de testes, é crucial.

2. Gestão de Dados: É essencial compreender como os dados são gerenciados pela ferramenta de IA, incluindo armazenamento, compartilhamento e retenção. Importante também é verificar se o fornecedor utiliza dados do cliente para treinar seus modelos e quais opções existem para controlar o uso desses dados.

3. Propriedade Intelectual e Auditorias: As questões de propriedade intelectual são complexas no contexto da IA, e o ambiente legal está em constante evolução. Avaliar as cláusulas de propriedade intelectual e escolher ferramentas que passaram por auditorias rigorosas são etapas importantes para garantir a segurança.

A IA não eliminará a necessidade de equipes de segurança, mas irá aprimorar significativamente suas funções, permitindo o desenvolvimento de código mais seguro de forma proativa. Adotando as práticas recomendadas mencionadas, as organizações podem estabelecer diretrizes e normas de engajamento que conduzirão a resultados de segurança superiores, de forma mais ágil. Esta abordagem não só acelera o processo de desenvolvimento de software, mas também inaugura uma nova década na segurança cibernética, com a IA desempenhando um papel integrado ao longo de todo o ciclo de desenvolvimento.

Embora a adoção da IA apresente desafios, principalmente relacionados à segurança e à gestão de riscos, as vantagens potenciais são imensas. A tecnologia oferece uma oportunidade para as empresas não apenas melhorarem a eficiência e a produtividade de suas equipes de desenvolvimento, mas também para reforçarem significativamente suas defesas contra ameaças cibernéticas.

Com a IA, a segurança cibernética evolui de uma abordagem reativa para uma proativa, antecipando problemas antes que eles ocorram e integrando soluções de segurança no início do desenvolvimento de software. Este é um avanço considerável que pode transformar a forma como as organizações protegem seus sistemas e dados.

A chave para uma implementação bem-sucedida da IA em segurança cibernética reside na colaboração contínua entre os desenvolvedores, as equipes de segurança e a tecnologia de IA. Juntos, podem criar um ecossistema de desenvolvimento de software que não apenas acelera a inovação, mas também assegura que essa inovação seja segura e confiável.

Conclusão

Como conclusão, observamos que a IA está configurando o futuro da cibersegurança de maneiras que apenas começamos a entender. As organizações que abraçam essa tecnologia, seguindo as práticas recomendadas e focando na segurança desde o início, estarão melhor equipadas para enfrentar os desafios do amanhã. À medida que continuamos a explorar o potencial da IA, é essencial manter uma postura de vigilância e adaptabilidade, garantindo que as inovações em segurança cibernética continuem a proteger nossos sistemas e dados mais valiosos.

Sobre o autor

Paulo Pagliusi

Paulo Pagliusi, Ph.D., CISM
Ph.D. in Information Security
Pagliusi Inteligência em Cibersegurança

Sócio de Technology Risk Consulting da KPMG
Chairperson do Comitê de Segurança da ABINC
Diretor da ISACA Rio de Janeiro Chapter

Paulo Pagliusi é um dos palestrantes mais requisitados atualmente, tendo se apresentado em mais de 200 eventos.

Consultor Ph.D. in Information Security, pela Royal Holloway, University of London, Mestre em Ciência da Computação pela UNICAMP, Pós-Graduado em Análises de Sistemas, pela PUC - RJ, Paulo Pagliusi é também CEO da Pagliusi Cibersecurity, Vice-Presidente da CSABR (Cloud Security Alliance Brasil) e Vice-Presidente da ISACA (Information Systems Audit and Control Association), Rio de Janeiro, onde obteve a certificação internacional CISM (Certified Information Security Manager).

Atua há mais de 20 anos com segurança da informação, como coordenador e consultor em projetos, cursos e eventos, em organizações como: ITI e GSI - Presidência da República, Ministério da Defesa, Marinha, Petrobras, FINEP, AGU, Receita Federal, SERPRO, IRB-Brasil Resseguros, Fundação Atech e Ezute, nos temas de: governança de segurança da informação, gestão de riscos e auditoria de TI, estratégia e gestão de riscos cibernéticos, privacidade & proteção de dados, consciência situacional cibernética para Conselhos, resiliência de sistemas de informação, cloud computing e fraudes na Internet.

Vencedor do 8º Concurso Inovação na Gestão Pública Federal, recebedor do 5ª Prêmio “A Nata dos Profissionais de Segurança da Informação”, e dos Prêmios “Personalidade Brasileira Dos 500 Anos” e “Destaque Profissional 500 Anos de Brasil”. Com nome citado na RFC (Request for Comments) 5106 (2008), da IETF (Internet Engineering Task Force), é autor de vários artigos especializados e também do livro: Internet Authentication for Remote Access - Authentication Solutions for Internet Remote Access Networks Aiming Ubiquitous Mobility. Scholar's Press, Alemanha, 2013. Referência para o governo brasileiro como especialista no caso Snowden, durante as audiências públicas da Comissão Parlamentar de Inquérito do Senado Federal criada para investigar a espionagem norte-americana. É um dos mentores do Cyber Manifesto, que tem o objetivo de estimular o apoio e a criação de uma visão compartilhada para proteger o Brasil de ataques cibernéticos.

Comente

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.