Armor alerta que a adoção de ferramentas de IA sem políticas formais está a criar novas vulnerabilidades, ampliar a superfície de ataque e aumentar o risco de perda de dados e incumprimento regulatório
|
As organizações que estão a adotar ferramentas de Inteligência Artificial (IA) sem políticas formais de governação estão a criar vulnerabilidades evitáveis na sua postura de segurança e a expor-se a riscos crescentes de perda de dados, incumprimento regulatório e novas ameaças específicas de IA. O alerta é da Armor, fornecedor global de serviços de cloud-native managed detection and response (MDR). “Se a sua empresa não estiver a desenvolver e a aplicar ativamente políticas para a utilização de IA, então já está atrasada”, afirma Chris Stouff, Chief Security Officer da Armor. Segundo o responsável, sem regras claras sobre dados, ferramentas e responsabilidades, a IA corre o risco de se transformar rapidamente num problema de segurança e conformidade. “O resultado é uma superfície de ataque em expansão, para a qual os controlos de segurança tradicionais não foram desenhados, e uma responsabilidade regulatória que muitas organizações ainda não perceberam que estão a assumir.” À medida que a IA se integra em processos críticos, as equipas de segurança enfrentam um desafio estrutural: criar modelos de governação que conciliem inovação com gestão de risco. A Armor identifica várias áreas críticas onde este défice já é visível. Entre elas estão falhas de data loss prevention, resultantes da introdução de dados sensíveis, informação de clientes ou código proprietário em ferramentas públicas de IA, muitas vezes fora do alcance dos mecanismos tradicionais de DLP. Outro risco crescente é a proliferação de shadow AI: ferramentas adotadas autonomamente por equipas de negócio, sem validação de IT ou segurança, criando fluxos de dados não governados que só são detetados em auditorias ou após incidentes. A isto somam-se falhas de integração com modelos de governance, risk and compliance (GRC), quando as políticas de IA existem de forma isolada e não articulada com os frameworks de conformidade já existentes. A pressão regulatória tende a agravar este cenário. Novos enquadramentos legais, como o Regulamento Europeu da IA (EU AI Act), bem como requisitos setoriais em áreas como a saúde e os serviços financeiros, estão a avançar mais depressa do que a preparação de muitas organizações para os cumprir. No setor da saúde, os riscos são particularmente elevados. A interseção entre a adoção de IA e requisitos como o HIPAA levanta questões críticas sobre utilização de dados, validação de resultados e responsabilidade. “As organizações de saúde estão sob enorme pressão para adotar IA, desde a eficiência administrativa até ao apoio à decisão clínica”, sublinha Chris Stouff. “Mas o ambiente regulatório ainda não acompanhou esta evolução, e as implicações de segurança são significativas. É essencial definir claramente que dados podem ser usados, em que ferramentas, como os resultados são validados e quem é responsável quando algo corre mal.” |
Receba todas as novidades na sua caixa de correio!
