Como os CISOs Podem Impulsionar uma Governança Eficiente de IA
A crescente importância da IA nos ambientes empresariais aumentou a urgência dos Chief Information Security Officers (CISOs) em impulsionar uma governança efetiva da IA. Quando se trata de qualquer tecnologia emergente, a governança é complexa – mas uma governança eficaz é ainda mais desafiadora. A primeira reação da maioria das organizações é responder com políticas rígidas. Elaborar um documento de políticas, circular um conjunto de restrições e esperar que o risco esteja contido. No entanto, a governança eficaz não funciona dessa maneira. Ela deve ser um sistema vivo que molda o uso da IA diariamente, orientando as organizações por meio de mudanças transformadoras seguras, sem desacelerar o ritmo da inovação.
Para os CISOs, encontrar esse equilíbrio entre segurança e velocidade é crítico na era da IA. Esta tecnologia representa simultaneamente a maior oportunidade e o maior risco que as empresas enfrentaram desde o surgimento da internet. Avançar muito rapidamente sem diretrizes pode levar a vazamentos de dados sensíveis, à proliferação de IA sombra ou a lacunas regulatórias que se tornam passivos. Avançar muito lentamente permite que concorrentes obtenham eficiências transformadoras que são poderosas demais para competir. Cada caminho apresenta ramificações que podem custar o emprego dos CISOs.
Por isso, eles não podem liderar um “departamento do não”, onde as iniciativas de adoção de IA são obstaculizadas pela função de segurança da organização. É crucial encontrar um caminho para o sim, mapeando a governança com a tolerância ao risco organizacional e as prioridades de negócio, de modo que a função de segurança sirva como um verdadeiro facilitador de receita. Ao longo deste artigo, serão compartilhados três componentes que podem ajudar os CISOs a fazer essa mudança e impulsionar programas de governança de IA que possibilitem uma adoção segura em larga escala.
1. Entender o Que Está Acontecendo no Terreno
Quando o ChatGPT chegou em novembro de 2022, a maioria dos CISOs que conheço correu para publicar políticas rigorosas que informavam aos funcionários o que não fazer. Isso partiu de um lugar de intenção positiva, considerando que o vazamento de dados sensíveis era uma preocupação legítima. No entanto, enquanto políticas escritas a partir dessa abordagem “documento para trás” são ótimas em teoria, raramente funcionam na prática. Devido à rapidez com que a IA está evoluindo, a governança da IA deve ser projetada por meio de uma mentalidade “realista para frente” que considere o que realmente está acontecendo no interior de uma organização. Isso requer que os CISOs tenham uma compreensão fundamental da IA: a tecnologia em si, onde está embutida, quais plataformas SaaS a estão habilitando e como os funcionários a estão utilizando para realizar seu trabalho.
Inventários de IA, registros de modelos e comitês interfuncionais podem parecer palavras da moda, mas são mecanismos práticos que podem ajudar os líderes de segurança a desenvolver essa fluência em IA. Por exemplo, um AI Bill of Materials (AIBOM) oferece visibilidade sobre os componentes, conjuntos de dados e serviços externos que alimentam um modelo de IA. Assim como um software bill of materials (SBOM) esclarece as dependências de terceiros, um AIBOM garante que os líderes saibam quais dados estão sendo utilizados, de onde vieram e quais riscos introduzem.
Os registros de modelos desempenham um papel semelhante para os sistemas de IA já em uso. Eles rastreiam quais modelos estão implantados, quando foram atualizados pela última vez e como estão se desempenhando para prevenir a proliferação de caixas pretas e informar decisões sobre correção, descomissionamento ou escalonamento do uso. Os comitês de IA garantem que a supervisão não recaia apenas sobre a segurança ou TI. Frequentemente presididos por um líder de IA designado ou um oficial de risco, esses grupos incluem representantes de jurídico, compliance, RH e unidades de negócios – transformando a governança de uma diretiva isolada em uma responsabilidade compartilhada que conecta preocupações de segurança com resultados de negócios.
2. Alinhar Políticas à Velocidade da Organização
Sem políticas realistas, os líderes de segurança frequentemente caem na armadilha de codificar controles que não conseguem entregar realisticamente. Isso foi testemunhado pessoalmente por um colega CISO. Sabendo que os funcionários já estavam experimentando a IA, ele trabalhou para permitir a adoção responsável de várias aplicações de GenAI em sua força de trabalho. No entanto, quando um novo CIO entrou na organização e sentiu que havia muitas aplicações de GenAI em uso, o CISO foi instruído a proibir todas as GenAI até que uma plataforma única fosse selecionada. Avançando um ano depois, essa única plataforma ainda não havia sido implementada, e os funcionários estavam usando ferramentas de GenAI não aprovadas que expunham a organização a vulnerabilidades da IA sombra. O CISO ficou preso tentando impor uma proibição geral que não conseguia executar, recebendo críticas sem a autoridade para implementar uma solução viável.
Esse tipo de cenário ocorre quando as políticas são escritas mais rapidamente do que podem ser executadas, ou quando não conseguem antecipar o ritmo da adoção organizacional. Políticas que parecem decisivas no papel podem rapidamente se tornar obsoletas se não evoluírem com mudanças de liderança, funcionalidades de IA incorporadas e as maneiras orgânicas como os funcionários integram novas ferramentas em seu trabalho. A governança deve ser flexível o suficiente para se adaptar, ou corre o risco de deixar as equipes de segurança aplicando o impossível.
O caminho a seguir é projetar políticas como documentos vivos. Elas devem evoluir à medida que o negócio evolui, informadas por casos de uso reais e alinhadas a resultados mensuráveis. A governança também não pode parar na política; ela precisa se desdobrar em padrões, procedimentos e bases que guiem o trabalho diário. Somente assim os funcionários saberão como é a adoção segura de IA na prática.
3. Tornar a Governança de IA Sustentável
Mesmo com políticas e roteiros sólidos em vigor, os funcionários continuarão a usar IA de maneiras que não são formalmente aprovadas. O objetivo para os líderes de segurança não deve ser proibir a IA, mas tornar o uso responsável a opção mais fácil e atraente. Isso significa equipar os funcionários com ferramentas de IA de nível empresarial, sejam compradas ou desenvolvidas internamente, para que não precisem recorrer a alternativas inseguras. Além disso, significa destacar e reforçar comportamentos positivos para que os funcionários vejam valor em seguir as diretrizes em vez de contorná-las.
A governança sustentável também decorre de Utilizar IA e Proteger IA, dois pilares do recentemente publicado Secure AI Blueprint pelo SANS Institute. Para governar a IA de forma eficaz, os CISOs devem capacitar suas equipes de SOC a utilizar a IA para defesa cibernética – automatizando a redução de ruído e enriquecimento, validando detecções contra inteligência de ameaças e garantindo que os analistas permaneçam informados para escalonamento e resposta a incidentes. Eles também devem garantir que os controles adequados estejam em vigor para proteger os sistemas de IA contra ameaças adversariais, conforme delineado nas Critical AI Security Guidelines do SANS.
Conclusão
Na era da IA, os CISOs enfrentam o desafio de equilibrar segurança e inovação. Com políticas adaptáveis e uma compreensão clara do cenário atual, eles podem liderar com eficácia a governança da IA, permitindo que suas organizações adotem essa tecnologia de forma segura e responsável. A formação contínua e o compartilhamento de melhores práticas são essenciais para que as empresas se mantenham competitivas e seguras em um ambiente em constante evolução.
