A relação dos CISOs com a IA Generativa (GenAI) não é nada fácil. Embora seja uma tecnologia com enorme potencial para resolver problemas relacionados à cibersegurança, o recente relatório da NTT DATA “Cibersegurança e Inteligência Artificial: o papel da IA e da GenAI na proteção das empresas” identificou que apenas uma em cada quatro empresas da região ibero-americana está implementando casos de uso relacionados à proteção de dados e ativos digitais.
As razões para esse cenário são diversas. Por um lado, a própria tecnologia é utilizada pelos cibercriminosos para refinar e sofisticar suas ameaças. Isso, em princípio, não parece afetar os responsáveis pela segurança das organizações. Quando os líderes empresariais foram consultados sobre os principais motivos que impedem a adoção da GenAI, os CIOs identificaram “receios com a segurança e a proteção” como o segundo fator mais importante. Entre os CISOs, esse item ficou apenas em oitavo lugar.
Outra diferença marcante está na percepção dos CEOs e CISOs sobre se os possíveis riscos de segurança associados à GenAI são bem compreendidos e gerenciados dentro da organização. As respostas afirmativas chegam a 96% entre os CEOs e caem para 89% entre os CISOs.
Ao mesmo tempo, os CISOs estão mais preocupados com essa inovação do que outros líderes empresariais. Enquanto 68% dos entrevistados em geral expressaram “sentimentos positivos” sobre a GenAI, esse número caiu para 49% entre os gerentes de segurança que, ao mesmo tempo, expressaram opiniões negativas em uma proporção muito maior do que seus colegas: 45% disseram que se sentiram pressionados, ameaçados e sobrecarregados pela tecnologia, em comparação com apenas 19% dos outros entrevistados.
Ainda assim, 89% dos entrevistados estão muito satisfeitos com o investimento em GenAI (embora 75% admitam que suas equipes não possuem as habilidades necessárias) e 37% já avaliam que precisarão de ajuda para desenvolver modelos bem estruturados e responsabilidades éticas e de segurança para a IA.
Recomendações: alinhar estratégias e realizar treinamentos
Uma empresa que adota a GenAI deve abordar várias questões em termos de gestão de riscos, incluindo a manutenção de padrões de cibersegurança (ameaças, deepfakes, desinformação), considerações legais (como direitos de propriedade intelectual ou falta de marco regulatório), falta de transparência (incluindo a explicação do raciocínio por trás de modelos complexos), respeito à privacidade (incluindo o consentimento do usuário), ética e discriminação (como vieses de algoritmos), falta de precisão (fontes de dados precárias) e falta de propriedade ou responsabilidade claras, entre outros aspectos. Muitas dessas tarefas recaem exatamente sobre os CISOs.
As organizações podem começar a capitalizar o poder da IA e da IA Generativa para fortalecer suas estratégias de cibersegurança, minimizando os riscos e eliminando a “fadiga” dos CISOs com essas tecnologias?
O primeiro passo é alinhar totalmente a GenAI com as estratégias de cibersegurança, algo que mais da metade das empresas ainda não conseguiu. Para isso, é importante definir casos de uso que promovam a GenAI internamente nos departamentos de cibersegurança e garantir que a organização tenha as ferramentas necessárias para sua adoção e gestão dos riscos.
Em seguida, é fundamental fechar a lacuna de escassez de talentos: oportunidades de aperfeiçoamento e treinamento para manter a força de trabalho de cibersegurança sempre à frente.
A oportunidade é enorme. Com algoritmos avançados de machine learning e grandes conjuntos de dados, a GenAI identifica padrões e irregularidades que os métodos tradicionais talvez não percebam, reduz os falsos positivos na detecção de ameaças e acelera a resposta a incidentes automatizando tarefas de rotina, entre outros benefícios. Estamos no início de uma nova era na proteção de dados e ativos digitais.