Foi dito que os dados são o petróleo da era da informação. E se esse for o caso, então Semana da Privacidade de Dados é um bom lembrete de que suas informações são valiosas. O evento internacional orienta as pessoas sobre como proteger seus dados, gerenciar as configurações de privacidade e tomar decisões mais informadas sobre quem (e o que) recebe esses dados.
A Semana da Privacidade de Dados também é um bom momento para as organizações considerarem suas práticas de proteção de dados. Com mais soluções implantando IA e ingerindo dados de usuários, trabalho híbrido e mais usuários, dispositivos, direitos e ambientes do que nunca, há riscos novos e complexos para os dados das organizações.
Na Semana da Privacidade de Dados, analisarei alguns desses novos riscos. Explicarei como os novos assistentes digitais e modelos de IA podem introduzir novos riscos de segurança, por que as soluções de governança e administração de identidade (IGA) formam a base da proteção de dados e sugerirei algumas práticas recomendadas que as organizações podem adotar para manter seus dados seguros.
O tema da Semana da Privacidade de Dados deste ano é "assuma o controle de seus dados". Essa é uma boa meta, mas, como a maioria das coisas, é mais fácil falar do que fazer. Cada dispositivo, usuário, conta de máquina e recurso cria, transmite e processa dados. É por isso que as organizações precisam de um programa de IGA, que lhes forneça os recursos necessários para:
- Manter a visibilidade e o controle de todos os dados da organização: Não é possível controlar o que não se vê ou não se entende. O IGA ajuda a garantir que as contas certas tenham acesso aos dados certos, aplicando revisões regulares de acesso e capacitando os proprietários de dados a aprovar ou revogar permissões conforme necessário. Ele também fornece aos administradores visibilidade sobre o que os usuários podem acessar no momento
- Garantir a conformidade contínua: Um dos benefícios da IGA e da visibilidade dos dados de sua organização? Demonstrar esse controle aos órgãos reguladores. O IGA pode automatizar fluxos de trabalho, relatórios de auditoria e certificações de acesso para demonstrar conformidade com GDPR, GLB, SOX, PCI-DSS, HIPAA, ARPA e outras regulamentações importantes.
- Proteger dados confidenciais: As soluções IGA podem fornecer à sua equipe de segurança percepções práticas sobre o acesso aos dados para identificar e reduzir o acesso não autorizado, ajudando a proteger os dados dos clientes e a propriedade intelectual.
Os modelos de IA generativa e os modelos de linguagem ampla (LLMs) introduzem novos riscos que as organizações precisam levar em conta. As instâncias do Microsoft Copilot, DeepSeek e ChatGPT dependem das entradas do usuário para treinar seus modelos. Em termos gerais, isso significa que tudo o que um usuário cola em um prompt se torna parte do modelo. Além disso, se sua organização usa um assistente de IA, a ferramenta pode ter acesso mais amplo aos dados organizacionais e pode não ter salvaguardas que limitem quando, se e como ela deve usar esses dados.
Obviamente, isso pode trazer riscos significativos. Veja o caso do serviço Azure Health Bot da Microsoft, que "permitiu o movimento lateral em toda a rede e, portanto, o acesso a dados confidenciais de pacientes", de acordo com o TechRadar. Um relatório de abril de 2024 observou que 20% das empresas do Reino Unido "tiveram dados corporativos potencialmente confidenciais expostos por meio do uso de IA generativa (GenAI) pelos funcionários", de acordo com Revista Infosecurity. Cisco estimou que um quarto das empresas proibiu a IA generativa devido a essas preocupações.
Essas preocupações são bem fundamentadas. Os LLMs precisam de uma grande variedade de dados de clientes para treinar seus modelos, e os usuários foram treinados para confiar na "caixa mágica" das pesquisas do Google e digitar o que estiverem procurando sem medo. Isso pode colocar em risco informações financeiras, IP, PII ou outros dados confidenciais.
Não são apenas as entradas do usuário que são arriscadas. Se um LLM estiver sendo treinado em seus dados, terceiros poderão consultá-lo para encontrar informações que você não gostaria que fossem divulgadas. Da mesma forma, há o risco de o próprio assistente transmitir informações em qualquer canal de saída com o qual ele possa se comunicar.
Se a sua organização for instalar um assistente digital, há algumas práticas recomendadas que precisam ser adotadas para manter a segurança dele e da sua equipe.
Primeiro, peça à sua equipe de liderança que explique quais são os riscos. Articule os tipos de informações que os usuários podem inserir e os que não podem. Na RSA, explicamos à nossa equipe que eles podem inserir informações destinadas ao consumo público. Qualquer outra coisa não deve fazer parte de uma consulta de usuário.
Em segundo lugar, certifique-se de ativar os controles corretos. Essas nem sempre são as configurações padrão do assistente: Se configurados incorretamente, os assistentes de IA podem ter acesso a tudo em toda a organização. Certifique-se de que seu chatbot saiba quais informações ele pode consultar e quais informações ele pode retornar. As organizações precisam isolar os dados adequadamente, de modo que o usuário X não receba respostas com base nos arquivos do usuário Y; caso contrário, você corre o risco de ter seus funcionários lendo os e-mails uns dos outros e acessando informações não intencionais.
Você também precisa saber o que o seu sistema pode acessar, quando ele tem esse acesso e quando ele faz recomendações aos usuários. Certifique-se de aplicar esses conjuntos de regras em todas as ferramentas de IA que você implantou (há várias versões do Copilot da Microsoft). E essas ferramentas precisam se encaixar em uma postura de segurança alinhada.
Por fim, pergunte ao fornecedor o que acontece com seus pesquisadores, dados e respostas. O fornecedor os mantém? Em caso afirmativo, por quanto tempo? Outras instâncias da solução são treinadas em seu modelo ou tudo fica reservado para você?
Em grande parte, discuti os riscos que os LLMs e a IA generativa representam para as posturas de segurança cibernética das organizações. Esses modelos de IA tendem a receber a maior parte das manchetes e representam alguns dos maiores riscos, mesmo porque mais usuários estão inserindo prompts no ChatGPT, Copilot etc.
A segurança cibernética também pode se beneficiar da IA, mas sua equipe precisa usar o modelo certo. De modo geral, os LLMs e a IA generativa não são adequados para as operações de segurança atualmente. Eles são uma caixa preta que produz resultados que nem sempre podem ser validados por um operador humano, e seus resultados nem sempre são úteis.
Esses modelos são baseados em modelos não determinísticos (coloco X valores, não sei o que sai). Os modelos determinísticos (eu insiro X valores, sei qual será o resultado e como a solução chegará a esse resultado) podem ser extremamente úteis para a segurança cibernética.
Estamos usando RSA® IA de risco há décadas para fornecer insights em tempo real sobre as solicitações de autenticação. O Risk AI é um modelo determinístico de aprendizado de máquina baseado em risco que avalia o endereço IP e os sinais de rede de um usuário, a análise de comportamento, a geolocalização, os sinais baseados em tempo, os sinais de aplicativos, os sinais relacionados a dispositivos e muito mais para avaliar o risco. Se esses sinais e comportamentos refletirem o comportamento típico do usuário em relação a ele mesmo e ao restante da organização, ele será considerado de baixo risco e poderá se autenticar usando métodos padrão. Se esses comportamentos apresentarem desvios significativos, o sistema automatizará um desafio de autenticação intensivo e poderá sinalizá-lo para a equipe de segurança.
É importante ressaltar que a RSA Risk AI não coleta informações das organizações e não usamos nenhuma informação de uma determinada implantação para treinar iterações futuras. Fazemos hash e tokenizamos todos os dados da Risk AI. Cada instância de Risk AI é implementada para cada organização de clientes, e essas implementações são ajustadas com base em seus dados e somente em seus dados.
Não deixe que as práticas recomendadas técnicas ou os pontos sobre arquitetura de segurança obscureçam o ponto principal: seus dados são valiosos. Vale a pena investir o tempo e os recursos das organizações em ferramentas, processos e procedimentos que possam mantê-los seguros.
Se você tiver alguma dúvida sobre como fazer isso, estamos aqui para ajuda.
