Como a segurança cibernética pode se transformar para acelerar o valor da IA?

Uma característica importante da abordagem de segurança cibernética mais eficaz e adaptável dos Secure Creators é a integração da IA — 62% estão usando ou estão nos estágios finais da adoção da IA ou do aprendizado de máquina (ML), em comparação com 45% das outras organizações.

A IA na segurança cibernética não é novidade. A relação pode ser traçada desde a década de 1980, e a análise da EY revela um aumento acentuado nas pesquisas, patentes e investimentos cibernéticos relacionados à IA desde 2015. A IA agora faz parte de 59% de todas as patentes cibernéticas e é a principal tecnologia explorada na pesquisa cibernética desde 2017.

Hoje, os criadores seguros estão integrando a IA em seus processos de detecção, resposta e recuperação de novas maneiras, o que lhes permite ficar à frente dos adversários, que estão usando métodos de ataque de IA sem serem impedidos por regulamentos ou políticas de uso.

Ao analisar rapidamente os dados em escala empresarial, a IA pode detectar automaticamente diferentes assinaturas de ataque e novos métodos de ataque. Com a arquitetura adequada, a IA pode se conectar às abordagens cibernéticas existentes nos sistemas de TI e TO (Tecnologia de Operação) para detectar incidentes mais rapidamente do que as pessoas sozinhas.

Os avanços na aprendizagem profunda e nas redes neurais agora permitem a análise de conjuntos de dados maiores e mais heterogêneos em tempo real. A capacidade de autotreinamento e aprendizado está acelerando a automação, ajudando as equipes cibernéticas a monitorar continuamente redes e aplicativos, detectar e prever ameaças quase em tempo real e responder a incidentes com mais rapidez. A aprendizagem profunda também melhora a precisão e a eficiência cibernética. Uma meta-análise de 69 estudos de pesquisa mostra uma precisão média de mais de 92% na detecção de spam, malware e invasões de rede^.2

Gajan Ananthapavan, diretor global de operações de segurança, inteligência e influência do Australia and New Zealand Banking Group Limited (ANZ Bank), diz que cerca de 30% da resposta a incidentes da organização foi automatizada, em grande parte graças ao ML e à IA. "Ingerimos mais de 10 bilhões de eventos de dados todos os dias como parte do monitoramento, detecção e resposta a possíveis eventos e incidentes de segurança em todo o nosso ambiente", disse ele. "Não conseguiríamos gerenciar esse volume sem o ML e a IA."

O CISO de uma grande empresa norte-americana de gerenciamento de ativos afirma que a empresa reduziu o tempo médio de detecção e resposta em pelo menos 50%. Os dados do estudo de 2023 mostram que os Secure Creators economizaram mais de 150 dias, em média, na detecção e resposta a uma violação de dados.

A IA ajuda as equipes cibernéticas a serem mais eficazes com os mesmos ou menos recursos, apresentando uma oportunidade de satisfazer o CFO fazendo mais com menos. As primeiras análises da EY apontam para ganhos de eficiência com o uso da IA na defesa cibernética que podem variar de 15% a 40%. Para obter o máximo de ganhos de eficiência, os CISOs precisam primeiro garantir a redução da complexidade e a consolidação da infraestrutura cibernética legada. Como observa o CISO do grupo Bupa, "Você precisa transformar sua pilha de tecnologia antes de pensar em lucrar com coisas como automação e GenAI. Não faz sentido tentar automatizar um processo quebrado."

Ações para CISOs:

• Ampliar o escopo da automação: Produza uma auditoria detalhada das tarefas automatizáveis da equipe cibernética e considere onde é melhor concentrar o insight das pessoas, garantindo atenção à explicabilidade e aos limites apropriados. Avaliar os recursos de automação de produtos de fornecedores terceirizados, priorizando a implementação da funcionalidade no software do fornecedor-parceiro acima do caso de uso de automação personalizada.
• Considere toda a empresa ao avaliar a IA para a segurança cibernética: Isso inclui ambientes corporativos, fábricas e ativos em nível de campo.
• Mantenha-se atualizado sobre os aplicativos emergentes de IA na detecção e recuperação de ameaças: Embora ainda não estejam surgindo de forma significativa, a análise de agrupamento de tópicos da EY mostra que a detecção e a recuperação de ameaças são áreas ativas de pesquisa. Deve-se levar em consideração os aplicativos nessas áreas, como planejamento de recuperação, análise de relatórios de incidentes e prevenção de ataques de dia zero.
• Siga os dados: Os investimentos em IA e ML serão mais lucrativos onde houver densidade de dados cibernéticos. Concentre-se em áreas como gerenciamento de identidade, ameaças e vulnerabilidades e operações de segurança em que é difícil gerenciar dados em grande escala.
• Crie para reutilização: Certas funções terão ampla aplicabilidade na segurança cibernética e em toda a empresa - evite a duplicação do desenvolvimento e da manutenção gerenciando centralmente a entrada e o desenvolvimento. Por exemplo, a priorização baseada em contexto de evento, incidente, ameaça, risco, vulnerabilidade e qualquer outra atividade de correção deve ser padronizada, criada uma vez e usada muitas vezes.
• Capturar e bloquear, revisar e liberar: Implemente um modelo em que a IA automatize tarefas tediosas, propensas a erros e de grande volume de "captura e bloqueio" e selecione eventos para as decisões de "revisão e liberação" dos profissionais de segurança cibernética que exigem julgamento e autorização.

Com as organizações implementando a IA em toda a empresa, a função de segurança cibernética tem uma oportunidade de curto prazo de se tornar um parceiro confiável para ajudar os outros a perceber o potencial de criação de valor das soluções baseadas em IA.

A rápida adoção da IA pode deixar uma organização vulnerável a novos ataques cibernéticos e riscos de conformidade. As equipes cibernéticas precisam assumir uma função mais estratégica, proativa e integrada dentro da empresa para instalar controles adequados à medida que as funções e os experimentos de IA se proliferam.

Lidando com a ameaça cibernética na expansão da IA

Os adversários já estão buscando vulnerabilidades nos sistemas de IA. Os pesquisadores de segurança usaram a injeção de prompts – prompts de engenharia para enganar os sistemas e fazer com que eles contornem filtros ou proteções – para atacar bots de conversação de empresas como a Bard e a OpenAI^.4 Pesquisadores de chapéu branco demonstraram no site como o envenenamento de dados – a alimentação de dados maliciosos em algoritmos para manipular seu resultado – pode ser lançado em conjuntos de dados populares a baixo custo e com habilidades técnicas mínimas.⁵ Em outro projeto, adesivos foram adicionados a uma placa de pare para enganar um veículo autônomo, fazendo com que ele a interpretasse erroneamente como uma placa de "45 milhas por hora"^.6 Em outros lugares, os pesquisadores criaram sons inaudíveis capazes de injetar comandos de voz maliciosos em assistentes de voz com tecnologia de IA^.7

Além dos ataques de agentes mal-intencionados, as organizações precisam garantir que os funcionários não violem a conformidade ou os regulamentos ao usar a IA, por exemplo, expondo dados confidenciais, propriedade intelectual ou material restrito em um modelo de IA para executar consultas ou tarefas. "Há muitas ferramentas disponíveis e elas funcionam de maneiras diferentes e com riscos diferentes. É muito fácil para alguém se inscrever e começar a usá-los", diz o CISO de uma organização de manufatura.

O estudo de 2023 mostra que apenas 36% dos CISOs estão satisfeitos com a adoção das melhores práticas cibernéticas pela força de trabalho que não é de TI. A necessidade de treinamento e educação cibernética em IA é ainda mais evidenciada nas recentes tendências de pesquisa acadêmica da nossa análise de agrupamento de tópicos. Cerca de 50% da literatura sobre o gerenciamento cibernético das organizações envolve treinamento e educação, constituindo o maior tópico nesse espaço. Além disso, 23% dessas pesquisas incluem a interseção da IA com treinamento e educação — uma área em que os trabalhadores estão buscando mais orientação. De acordo com a próxima pesquisa da EY, apenas 62% dos trabalhadores dos EUA afirmam que seu empregador fez da educação dos funcionários sobre o uso responsável da IA uma prioridade.

Cartwright, da Asahi, também argumenta que as ferramentas de IA para gerar resultados como insights sobre os clientes precisam ser gerenciadas adequadamente em termos de consentimento e protocolos de reutilização de dados. "É preciso garantir que os ambientes de desenvolvimento, especialmente os ambientes de desenvolvimento de ciência de dados, tenham controles fortes e sejam bem protegidos", diz ele. Os entrevistados também observaram a importância de instituir a explicabilidade, como, por exemplo, garantir que uma decisão de limite de crédito não entre em conflito com as regulamentações antidiscriminatórias relativas aos dados dos quais ela se baseia, inferências errôneas ou dados de proxy enganosos.

Oportunidades de segurança cibernética para melhorar a implementação da IA em diferentes domínios:

Visibilidade a partir do topo

Os CISOs eficazes são capazes de comunicar o valor de uma postura sólida de segurança cibernética para toda a organização. A conscientização dos riscos de IA entre os diretores executivos e a diretoria oferece uma oportunidade de desenvolvimento. Conforme exemplificado no estudo de 2023, os CISOs já começaram a expandir sua influência, com mais interação com a diretoria e mais CISOs se reportando diretamente ao C-suite. A criação de confiança com a diretoria e o C-suite tem como base a transparência.

"Uma coisa que está se tornando muito importante é a capacidade de interagir com as empresas de forma transparente, para que elas se sintam à vontade para pegar um telefone e conversar. Os dias em que a segurança era algo nos bastidores já se foram", diz Cartwright, da Asahi. Ele acredita que conversas transparentes com a diretoria e a responsabilidade nas decisões cibernéticas abrem caminho para que os CISOs se tornem mais estratégicos em toda a organização.

Os membros da diretoria geralmente superestimam a eficácia da abordagem geral de sua organização em relação à segurança cibernética (48% satisfeitos versus 36% dos CISOs), com lacunas menores para os criadores seguros, sugerindo que mais transparência com os líderes seniores e uma compreensão compartilhada do risco são importantes à medida que a implementação da IA avança.

Paralelamente, as organizações precisam começar a explorar os recursos para detectar a "IA sombra". Assim como nos primeiros dias da nuvem, as organizações já foram vítimas de experimentos bem-intencionados com IA em ambientes não produtivos, o que levou à exposição de dados confidenciais, ao roubo de modelos e a custos excessivos e inesperados de soluções devido a implementações não controladas. Esses tipos de contratempos colocam em questão tanto o valor comercial quanto a postura de risco das organizações.

Uma visão 360 da IA em toda a empresa

Um CISO voltado para o exterior pode ajudar uma organização a melhorar a adoção geral da IA usando a segurança cibernética como uma estrutura de coordenação. Algumas empresas estão formando órgãos consultivos de IA para coordenar as iniciativas de IA, o que pode resolver o problema da IA invisível e melhorar a visibilidade da experimentação de IA. Um gerente de ativos criou uma entidade desse tipo — com representantes de todos os grupos de negócios, inclusive cibernéticos — para qualquer pessoa da organização que queira utilizar IA, fornecendo regras sobre dados compartilháveis e restrições ao envio de dados para fora da organização.

A segurança cibernética também está se tornando um componente essencial nas decisões operacionais em campo. Um CISO de um fabricante varejista com sede na Europa exemplificou essa integração, observando: "O setor de compras agora está ciente de que, ao iniciar um novo projeto, entrará em contato conosco e, então, poderemos fornecer a eles nossos requisitos para os próximos fornecedores e os próximos aplicativos que desejam usar."

A sólida segurança cibernética em toda a IA dá às equipes confiança para fazer experimentos com segurança, ajudando as empresas a identificar aplicações práticas e a definir claramente o retorno sobre o investimento. Um CISO com quem conversamos diz que sua equipe cibernética ajudou a criar sua própria instância do ChatGPT para que outras funções de negócios pudessem trabalhar dentro dos limites das quatro paredes virtuais da organização.

Encontrando uma linguagem comum no mundo cibernético

A quebra de barreiras à segurança cibernética começa com a familiaridade com o tema em geral. Asahi acredita que a realização de sessões regulares de "almoço e aprendizado" relacionadas à segurança cibernética foi o pontapé inicial para que a empresa pensasse mais sobre a segurança cibernética. Cartwright observou que não se trata necessariamente das maiores ameaças cibernéticas, como phishing, mas o objetivo é tornar o tema da segurança cibernética acessível a todos.

A Bupa é outro exemplo, no qual o CISO está tentando preencher a lacuna com a empresa, garantindo que as métricas cibernéticas sejam incluídas nas métricas de relatórios. "Em todos os comitês de desempenho comercial, estamos trabalhando para incorporar métricas de segurança cibernética, tentando incorporar métricas em termos de desempenho cibernético. Não é perfeito, é uma jornada, mas estamos tentando fazer com que o ciberespaço faça parte das métricas de negócios," diz o CISO do grupo Bupa.

Ações para CISOs:

• Incorpore profissionais cibernéticos no processo de identificação, admissão e governança de casos de uso de IA: essa inserção em estágio inicial permitirá a integração cibernética proporcional à sensibilidade dos dados e da função comercial.
• Publique e governe os padrões de uso aceitável de IA em toda a empresa: descreva as grades de proteção e as orientações sob as quais a empresa e os tecnólogos de suporte devem projetar e criar soluções de IA. Adote um conjunto de controles cibernéticos técnicos que se alinhem às estruturas de padrões emergentes do setor de IA, como a Estrutura de Gerenciamento de Riscos de IA do Instituto Nacional de Padrões e Tecnologia dos EUA e a Lei de IA da UE.
• Implemente a mitigação de riscos específicos de IA: considere as características e os desafios exclusivos associados aos sistemas de IA, como complexidade, ataques adversários, falta de interpretabilidade, aprendizado contínuo e considerações éticas.

Os Secure Creators trabalham com a diretoria executiva para ajudar a criar estratégias que impulsionem a inovação e a criação de valor em toda a empresa. O surgimento da IA é outra oportunidade para as funções de segurança cibernética demonstrarem seu valor para a organização. Com os aplicativos de IA liberando tempo para que a equipe cibernética se concentre em objetivos de valor agregado, os profissionais cibernéticos podem ajudar o restante da empresa a obter valor da IA com confiança.

Os CISOs têm uma oportunidade de curto prazo de se tornarem parceiros confiáveis, ajudando as equipes a maximizar o potencial de criação de valor das ferramentas de IA que pretendem implementar. Ajudar a empresa a implantar a IA com confiança pode mudar a percepção da segurança cibernética de uma equipe que atrasa as coisas para uma que permite a adoção confiante da tecnologia em um ritmo acelerado. Ao estabelecer processos que incorporem o ciberespaço com antecedência, outras funções ganharão eficiência ao minimizar problemas ou atrasos no orçamento.

A integração do ciberespaço às iniciativas de IA é uma oportunidade para as funções cibernéticas expandirem sua influência em toda a organização. As principais equipes cibernéticas estão mostrando que sua contribuição pode informar melhores decisões sobre tudo, desde aquisições até a governança da cadeia de suprimentos. Um CISO está profundamente envolvido na avaliação holística dos alvos de aquisição, algo cada vez mais importante, dado o aumento do apetite dos CEOs por M&A em 2024.⁸ O mesmo CISO aumenta a confiança dos acionistas ao fornecer informações e garantias sobre a capacidade da empresa de proteger suas informações. Da mesma forma, Ananthapava , do ANZ, e sua equipe fornecem inteligência estratégica sobre ameaças que alimenta a tomada de decisões de negócios.

Um CISO enfatiza como a segurança cibernética pode impulsionar as vendas e aumentar os resultados, criando confiança nos clientes. "Há vários clientes que estão se concentrando cada vez mais em certificações, questionários, verificando se seus fornecedores estão cumprindo um determinado nível de diligência e demonstrando que fazemos isso, seja para manter os clientes atuais satisfeitos ou para abrir novos mercados para nós, e, nesse caso, devemos ser capazes de quantificar isso para a empresa."

A IA também permite que a função cibernética tome decisões e realize análises mais rapidamente, simplifique os processos para economizar custos e reduza a necessidade de mais funcionários. Isso pode ser essencial para cumprir as exigências regulatórias, mas também para responder rapidamente às oportunidades de mercado.

Ações para CISOs:

• Estabeleça princípios de IA e proteções para apoiar a experimentação: À medida que as empresas experimentam e adotam rapidamente a IA, é essencial que os CISOs ajam rapidamente para proteger e acelerar a taxa de inovação.
• Ajudar a empresa a colocar os casos de uso no mercado mais rapidamente: Desenvolva um conjunto pré-configurado e pré-sancionado de arquiteturas, padrões de integração e componentes de pilha de tecnologia para dar suporte a casos de uso comerciais. Torne a segurança por design o caminho mais rápido para o mercado em sua organização.
• Capacitação cibernética direcionada: Aproveitar uma estrutura prática de segurança e risco de IA para ajudar a chegar ao "sim" para os negócios, permanecendo dentro das tolerâncias de risco, revertendo a percepção de que a segurança cibernética é o departamento de prevenção de negócios.
• Obtenha visibilidade da superfície de ataque da IA e do ecossistema de terceiros: Muitos CISOs passaram muito tempo na frente de seus Conselhos e equipes executivas respondendo a violações de dados de terceiros. Nossa pesquisa mostrou que os criadores seguros têm estratégias implementadas para gerenciar todos os riscos cibernéticos em toda a superfície de ataque e em seu ecossistema de terceiros. Expandir isso para cobrir novas superfícies de ataque de IA permitirá que as organizações adotem a IA com confiança.

Embora as principais organizações estejam entusiasmadas com a integração da IA para a segurança cibernética, elas ainda estão nos estágios iniciais de levar a segurança cibernética para toda a empresa à medida que implementam a IA. Os CISOs mais bem-sucedidos serão aqueles que conseguirem articular o valor da segurança cibernética para a empresa na era da IA, além das definições restritas de segurança, dando aos negócios a confiança de que podem adotar a IA com segurança.

AnnMarie Pino, Diretora Associada, EY Insights, Ernst & Young LLP; Michael Wheelock, Diretor Associado, EY Insights, Ernst & Young LLP e Ryan Gavin, Associado Supervisor, EY Insights, contribuíram para este artigo.