🌟 Atualização imperdível para quem gosta de estar bem informado!
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Quando um funcionário instala um assistente de redação de IA, conecta um copiloto de codificação ao seu IDE ou começa a resumir reuniões com uma nova ferramenta de navegador, ele está fazendo exatamente o que um funcionário produtivo deveria fazer: encontrar maneiras mais rápidas de trabalhar.
Na maioria das organizações hoje, os funcionários utilizam de três a cinco ferramentas de IA em um determinado dia. A maioria nunca foi revisada pela TI. Uma parcela significativa se conecta a dados corporativos por meio de tokens OAuth ou sessões de navegador, dando-lhes acesso a unidades compartilhadas, e-mails e documentos internos que os funcionários nunca pretenderam expor especificamente. As equipes de segurança muitas vezes não têm visibilidade de nada disso.
Esta é a lacuna da IA sombria e está aumentando rapidamente. A maioria das ferramentas de segurança foi criada para monitorar o tráfego de e-mail e de rede que flui pela rede corporativa. Uma ferramenta de IA baseada em navegador que se conecta aos dados da empresa por meio de uma rápida aprovação de login ignora totalmente esses controles, porque nunca passa pela rede corporativa.
De acordo com a pesquisa da Adaptive Security, 80% dos funcionários utilizam atualmente aplicações generativas de IA não aprovadas no trabalho, e apenas 12% das empresas têm uma política formal de governança de IA em vigor. O resultado é uma desconexão crescente entre a forma como os funcionários trabalham e o que as equipes de segurança podem ver.
Um programa que canaliza a adoção da IA para um caminho seguro, visível e aprovado dá às equipes de segurança a visibilidade de que precisam e aos funcionários as ferramentas que desejam. As cinco etapas abaixo mostram exatamente como construir um.
Etapa 1: crie uma imagem completa do que está acontecendo
Um programa de segurança só pode gerenciar o que pode ver. O primeiro passo é descobrir quais ferramentas de IA estão em uso em toda a organização, e a maioria das equipes de segurança achará a resposta surpreendente.
Três áreas são responsáveis pela maior parte da atividade da IA sombra.
Conexões OAuth. A maioria das ferramentas de IA solicita acesso ao Google Workspace ou Microsoft 365 por meio do OAuth, que lhes concede permissões de leitura ou gravação em dados corporativos. Uma auditoria trimestral de aplicativos de terceiros conectados, classificados por escopo de permissão, geralmente revela dezenas de ferramentas que a equipe de segurança nunca revisou.
Extensões do navegador. Muitas ferramentas de IA são executadas como extensões de navegador e nunca afetam o sistema operacional, portanto, as ferramentas tradicionais de gerenciamento de endpoint as ignoram completamente. Uma solução de gerenciamento de navegador ou um agente leve instalado nos dispositivos dos funcionários pode procurar e identificar quais extensões estão ativas em toda a organização.
Recursos de IA agrupados em ferramentas já aprovadas. Microsoft Copilot, Google Gemini e Salesforce Einstein são exemplos de recursos de IA que podem ter sido introduzidos após a revisão original do fornecedor, muitas vezes sem uma avaliação de segurança separada.
Também vale a pena realizar uma pesquisa simples com os funcionários. Uma pesquisa elaborada para ajudar os funcionários a trabalhar com mais segurança tende a obter respostas sinceras. Muitas ferramentas ocultas surgem por meio de pesquisas que a descoberta automatizada ignora completamente.
O objetivo desta etapa é um inventário atual e preciso: cada ferramenta de IA em uso, quem a utiliza e a quais dados ela tem acesso.
Defesa de nível CISO contra engenharia social baseada em IA
A engenharia social alimentada por IA foi além do e-mail – para voz, SMS e vídeo deepfake.
A Segurança Adaptável protege as equipes simulando ataques, medindo riscos e fechando as lacunas que o SAT herdado perdeu. Defesa de nível CISO para um novo modelo de ameaça.
Faça um tour
Etapa 2: redigir uma política que funcione com os funcionários
A maioria das políticas de uso aceitável de IA estagnam pelo mesmo motivo: elas fornecem aos funcionários uma lista de ferramentas proibidas, sem nenhuma orientação sobre como será o caminho aprovado. Uma política concebida como um guia prático, que identifique ferramentas aprovadas e forneça um processo claro para solicitação de novas, é a base de que os funcionários precisam para tomar boas decisões.
Uma política eficaz de governação da IA abrange cinco aspectos.
Uma lista atual de ferramentas aprovadas e onde encontrá-las.
Regras claras de classificação de dados que especificam quais categorias de dados, incluindo registros de clientes, código-fonte e informações financeiras, nunca devem ser inseridas em nenhuma ferramenta de IA.
Um status de cancelamento de treinamento de dados verificado para cada ferramenta aprovada. Muitas ferramentas de IA usam informações da empresa para melhorar seus modelos por padrão, a menos que as configurações empresariais sejam explicitamente configuradas de outra forma. A aprovação deve exigir a confirmação da exclusão de qualquer ferramenta que lide com dados confidenciais.
Um processo definido para solicitação de novas ferramentas, com prazo de entrega previsto.
Uma explicação em linguagem simples sobre por que as diretrizes existem.
Esse último elemento é mais importante do que pode parecer. Os funcionários que entendem por que as conexões OAuth apresentam risco de exposição de dados aplicam esse raciocínio a todas as decisões que tomam sobre ferramentas. A política torna-se uma forma de educação quando o raciocínio é incluído.
Etapa 3: Crie uma via rápida para novas solicitações de ferramentas
Shadow AI cresce mais rápido em organizações onde a aprovação oficial
Na maioria das organizações hoje, os funcionários utilizam de três a cinco ferramentas de IA em um determinado dia. A maioria nunca foi revisada pela TI. Uma parcela significativa se conecta a dados corporativos por meio de tokens OAuth ou sessões de navegador, dando-lhes acesso a unidades compartilhadas, e-mails e documentos internos que os funcionários nunca pretenderam expor especificamente. As equipes de segurança muitas vezes não têm visibilidade de nada disso.
Esta é a lacuna da IA sombria e está aumentando rapidamente. A maioria das ferramentas de segurança foi criada para monitorar o tráfego de e-mail e de rede que flui pela rede corporativa. Uma ferramenta de IA baseada em navegador que se conecta aos dados da empresa por meio de uma rápida aprovação de login ignora totalmente esses controles, porque nunca passa pela rede corporativa.
De acordo com a pesquisa da Adaptive Security, 80% dos funcionários utilizam atualmente aplicações generativas de IA não aprovadas no trabalho, e apenas 12% das empresas têm uma política formal de governança de IA em vigor. O resultado é uma desconexão crescente entre a forma como os funcionários trabalham e o que as equipes de segurança podem ver.
Um programa que canaliza a adoção da IA para um caminho seguro, visível e aprovado dá às equipes de segurança a visibilidade de que precisam e aos funcionários as ferramentas que desejam. As cinco etapas abaixo mostram exatamente como construir um.
Etapa 1: crie uma imagem completa do que está acontecendo
Um programa de segurança só pode gerenciar o que pode ver. O primeiro passo é descobrir quais ferramentas de IA estão em uso em toda a organização, e a maioria das equipes de segurança achará a resposta surpreendente.
Três áreas são responsáveis pela maior parte da atividade da IA sombra.
Conexões OAuth. A maioria das ferramentas de IA solicita acesso ao Google Workspace ou Microsoft 365 por meio do OAuth, que lhes concede permissões de leitura ou gravação em dados corporativos. Uma auditoria trimestral de aplicativos de terceiros conectados, classificados por escopo de permissão, geralmente revela dezenas de ferramentas que a equipe de segurança nunca revisou.
Extensões do navegador. Muitas ferramentas de IA são executadas como extensões de navegador e nunca afetam o sistema operacional, portanto, as ferramentas tradicionais de gerenciamento de endpoint as ignoram completamente. Uma solução de gerenciamento de navegador ou um agente leve instalado nos dispositivos dos funcionários pode procurar e identificar quais extensões estão ativas em toda a organização.
Recursos de IA agrupados em ferramentas já aprovadas. Microsoft Copilot, Google Gemini e Salesforce Einstein são exemplos de recursos de IA que podem ter sido introduzidos após a revisão original do fornecedor, muitas vezes sem uma avaliação de segurança separada.
Também vale a pena realizar uma pesquisa simples com os funcionários. Uma pesquisa elaborada para ajudar os funcionários a trabalhar com mais segurança tende a obter respostas sinceras. Muitas ferramentas ocultas surgem por meio de pesquisas que a descoberta automatizada ignora completamente.
O objetivo desta etapa é um inventário atual e preciso: cada ferramenta de IA em uso, quem a utiliza e a quais dados ela tem acesso.
Defesa de nível CISO contra engenharia social baseada em IA
A engenharia social alimentada por IA foi além do e-mail – para voz, SMS e vídeo deepfake.
A Segurança Adaptável protege as equipes simulando ataques, medindo riscos e fechando as lacunas que o SAT herdado perdeu. Defesa de nível CISO para um novo modelo de ameaça.
Faça um tour
Etapa 2: redigir uma política que funcione com os funcionários
A maioria das políticas de uso aceitável de IA estagnam pelo mesmo motivo: elas fornecem aos funcionários uma lista de ferramentas proibidas, sem nenhuma orientação sobre como será o caminho aprovado. Uma política concebida como um guia prático, que identifique ferramentas aprovadas e forneça um processo claro para solicitação de novas, é a base de que os funcionários precisam para tomar boas decisões.
Uma política eficaz de governação da IA abrange cinco aspectos.
Uma lista atual de ferramentas aprovadas e onde encontrá-las.
Regras claras de classificação de dados que especificam quais categorias de dados, incluindo registros de clientes, código-fonte e informações financeiras, nunca devem ser inseridas em nenhuma ferramenta de IA.
Um status de cancelamento de treinamento de dados verificado para cada ferramenta aprovada. Muitas ferramentas de IA usam informações da empresa para melhorar seus modelos por padrão, a menos que as configurações empresariais sejam explicitamente configuradas de outra forma. A aprovação deve exigir a confirmação da exclusão de qualquer ferramenta que lide com dados confidenciais.
Um processo definido para solicitação de novas ferramentas, com prazo de entrega previsto.
Uma explicação em linguagem simples sobre por que as diretrizes existem.
Esse último elemento é mais importante do que pode parecer. Os funcionários que entendem por que as conexões OAuth apresentam risco de exposição de dados aplicam esse raciocínio a todas as decisões que tomam sobre ferramentas. A política torna-se uma forma de educação quando o raciocínio é incluído.
Etapa 3: Crie uma via rápida para novas solicitações de ferramentas
Shadow AI cresce mais rápido em organizações onde a aprovação oficial
#samirnews #samir #news #boletimtec #5 #etapas #para #gerenciar #ferramentas #shadow #ai #sem #atrasar #os #funcionários
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário