A inteligência artificial é uma realidade, mas falta governança. Esta foi a advertência feita pelos especialistas que debateram o tema no Febraban Tech. O diretor da prática de segurança da Logicalis, Rodrigo Fernandes, lembrou que as áreas de segurança estão vivendo uma série de mudanças causadas pela análise em tempo real, possibilitada pelo uso de IA, e a chegada de novas regulações para o setor.
Um exemplo é o Digital Operational Resilience Act (DORA), que traz um modelo de resiliência diferente. “A soberania digital vem ganhando força no Brasil, trazendo temas como os algoritmos. Vamos falar sobre IA, resiliência e soberania digital e como moldar o futuro com essa tríade”, afirmou.
O especialista de segurança de TI do Bradesco, Luciano Carolino, reforçou que a IA traz uma série de benefícios para as áreas de segurança, como a adoção de uma postura mais proativa e preditiva. “Uma das áreas mais beneficiadas é o SOC, principalmente em grandes instituições financeiras e ambientes complexos, onde a IA tem ajudado fortemente na análise e prevenção de acidentes, ajudando a distinguir ameaças reais de possíveis ameaças.”
Outra frente destacada por Carolino, do Bradesco, é a formada pelos red teams, com testes cada vez mais realistas e análises mais precisas. “A IA generativa é um forte aliado desse time. Hoje é impossível gerenciar uma estrutura grande sem esse instrumento de apoio”, acrescentou.
O gerente de cibersegurança do Itaú Unibanco, Marco Aurélio Rodrigues, observou que até há bem pouco tempo as estruturas de SOC eram estáticas. “Hoje, com a IA, eu consigo que a ferramenta me conte algo que eu não sei”, disse, ressaltando que usar a IA não é automatizar, mas trazer capacidade analítica para observar coisas que não eram vistas antes. O executivo destacou que a IA acelera esse processo, inclusive aumentando a assertividade na triagem do SOC, o que afeta até o tempo de resposta a incidentes.
Sobre a regulação, João Passos, da Brasilseg, afirmou que ainda há muita resistência a novos modelos, mas acredita que o mercado está se preparando. “Sobre a DORA, não acho que o impacto será tão grande do nosso lado, mas ela trará mais preocupação para os CISOs”, disse. Para Fernandes, da Logicalis, novas regulamentações devem gerar novos modelos de adoção, criando uma tríade: regulamentação, prática e adaptação do negócio.
Foco em segurança e governança
Outra preocupação apresentada em relação ao uso de inteligência artificial diz respeito à segurança. Para Rodrigues, do Itaú, ela começa por entender onde os dados estão colocados. “Quando levamos dados ou processamento para algum lugar, temos que entender onde e como ele será processado. Por isso sempre temos que ter um data flow e governança de dados, que é o que vai definir o tipo de controle que você vai ter. Isso tudo está acoplado na governança de informação”, disse.
Para Passos, essa é uma etapa importante que não vem sendo cumprida por muitas empresas, que estão adotando IA sem controle. “Hoje não temos muitas organizações com governança. Há muitas empresas em que a área de segurança nem sabe o quanto de IA tem sido utilizado pelas áreas de negócio e isso torna complicado manter a resiliência”, afirmou.
Carolino, do Bradesco, citou ainda outro fator, que é a segurança da IA. “Muito se fala da IA para segurança, mas pouco da segurança para IA. As áreas de segurança precisam olhar com carinho como proteger sua IA”, defendeu. Para Rodrigues, do Itaú Unibanco, a preocupação á válida, tanto que hoje já é comum encontrar frameworks com tendências de envenenamento de LLM.
