É seguro o uso do ChatGPT e a IA generativa, com base numa cultura adequada de governança para permitir com responsabilidade, combinada a uma orientação tecnológica certa, por meio de controles modernos de prevenção contra perda de dados (DLP)
Assim que o ChatGPT e a inteligência artificial (IA) generativa se tornaram a tendência do momento, surgiu um questionamento comum entre os líderes de empresas de tecnologia:
É seguro?
A resposta é positiva, desde que seja observada a aplicação da proteção de dados confidenciais e o uso responsável de IA/ML associada a um trabalho de conscientização dos usuários quanto à criação de programas orientados à governança.
A permissão gerenciada do ChatGPT e outras ferramentas de IA generativa é uma necessidade. As organizações que simplesmente impedem seu acesso, podem se sentir inicialmente mais seguras, mas também estão negando o uso produtivo do ChatGPT e colocando suas equipes atrás da curva de inovação.
Permissão gerenciada do ChatGPT
Acreditamos no uso produtivo e em muitas inovações de IA e machine learning (ML). Porém, como todo mundo, observamos um ponto de inflexão. Antes de novembro de 2022, se você não fosse um profissional de segurança, desenvolvedor, cientista de dados, futurista ou entusiasta de tecnologia, provavelmente não estaria envolvido com IA generativa.
Mas o que aconteceu desde o lançamento público do ChatGPT é que esses serviços e tecnologias agora estão disponíveis a todos. Hoje, qualquer pessoa com um navegador, pode agora entrar e entender o que o ChatGPT pode fazer.
Quando algo é tão difundido a ponto de se tornar o tópico dominante de conversa nos negócios e na tecnologia tão rapidamente – e o ChatGPT definitivamente tem sido – os líderes têm essencialmente duas escolhas:
- Proibir ou limitar severamente o seu uso
- Criar uma cultura em que eles permitam que as pessoas entendam o uso dessa tecnologia — e adotem seu uso — sem colocar o negócio em risco.
Nesse sentido, faz-se necessário que as empresas habilitem a permissão de acesso responsável ao ChatGPT às equipes certas. Pode-se comparar o comportamento disruptivo que a IA generativa convencional trará, ao início dos mecanismos de busca décadas atrás, quando fomos expostos a diferentes ameaças e muitos dados foram disponibilizados publicamente, que na verdade não deveriam ter vazado.
Trago um alerta: agora, como naquela época, a grande estratégia de segurança é proteger dados confidenciais e impedir que sejam acessados por fontes que não deveriam ter acesso a eles. Hoje, com o ChatGPT e outros aplicativos de IA generativa, isso pode ser feito com base numa cultura adequada, ou seja, permitir com responsabilidade, combinada a uma orientação tecnológica certa, por meio de controles modernos de prevenção contra perda de dados (DLP), que evitam o uso indevido e a exfiltração de dados como também fazem parte de uma infraestrutura que permite que as equipes respondam rapidamente em caso de uso indevido desses dados.
Vale destacar que os controles DLP avançados citados ajudam a prevenir os riscos cibernéticos inerentes a aplicativos de IA generativa, mas numa análise mais aprofundada, a DLP precisa ter a capacidade de definir políticas no nível “isso nunca deve sair”, referente a conjuntos de dados que se forem expostos, seriam perigosos para os negócios – e “isso não deve sair”, para conjuntos de dados que não se deseja que sejam comprometidos, mas que não conseguiriam causar uma interrupção dos negócios.
Uma DLP avançada pode identificar automaticamente fluxos de dados confidenciais, categorizando esses dados com mais exatidão. Isso inclui a classificação de imagem baseada em IA/ML e a capacidade de criar classificadores personalizados baseados em ML, além de aplicação de políticas de segurança em tempo real — a todas as conexões de usuários — que combina a interrupção seletiva de postagens de informações confidenciais com mensagens visuais de coaching para ajudar os usuários a terem um comportamento melhor.
Então, voltando à grande questão: o ChatGPT é seguro?
Sim. Com a mentalidade certa, a educação correta para os usuários e a tecnologia DLP moderna e certa para protegê-lo.
Uma palavra sobre o risco de terceirizados e quarteirizados
À medida que mais empresas buscam permitir o uso produtivo de IA generativa, mais líderes de tecnologia farão perguntas ainda mais pontuais sobre riscos relevantes no caso de terceiros e fornecedores.
Os copilotos de IA, por exemplo, serão rapidamente adotados, mas quantas empresas em seu processo de RFP hoje solicitam a seus fornecedores terceirizados ou quarteirizados informações críticas sobre como suas ferramentas alavancam os copilotos, ou quaisquer ferramentas associadas à IA? Seria possível hoje, por exemplo, identificar quais de seus fornecedores comunicaram qual a quantidade de qualquer código em seu software escrito por um aplicativo de IA ou não? E você é capaz de identificá-lo? Se seus fornecedores têm aplicativos de IA gerando conteúdo, você sabe a quem pertence a tecnologia que eles estão usando? E quem é o dono do conteúdo que eles produzem, isso envolve o licenciamento e pode ser um problema?
Essas questões devem ser um padrão no processo de governança de todas as empresas. O setor de segurança é mais forte quando somos honestos e específicos sobre o que estamos procurando alcançar e como podemos fazê-lo.
Por Claudio Bannwart, Country Manager Brasil da Netskope
Fonte: Portal Contábeis
