Crie uma fundação segura de Confiança Zero para IA

A IA está a transformar a forma como as empresas operam e inovam na era do trabalho remoto e híbrido. Também traz novos desafios e riscos, especialmente no que diz respeito à segurança e privacidade dos dados. À medida que as empresas procuram inovar e suportar os seus colaboradores a partir de qualquer lugar, também precisam de ser capazes de proteger as suas informações valiosas. A Confiança Zero é um framework de segurança adaptável ao local de trabalho moderno para proteger melhor os colaboradores e os seus dispositivos. Também fornece proteção para tecnologias IA, que podem ser implementadas para reforçar a segurança.

Os dados geridos alimentam os modelos de IA, que dependem de grandes quantidades de informação para aprender, analisar e gerar informações. Esta necessidade de dados seguros torna-os um recurso vulnerável que deve ser protegido contra acesso não autorizado, utilização indevida e roubo. Qualquer falha de segurança - ponto final, identidade, aplicação, infraestrutura, rede - pode ter consequências graves para as empresas, tais como danos reputacionais, responsabilidade legal e perda de confiança.

Ao adotar um framework de segurança de Confiança Zero, as empresas podem salvaguardar o seu acesso enquanto fornecem aos seus colaboradores o que precisam para trabalhar. A Confiança Zero segue três princípios básicos:

1.      Verifique de forma explícita. A Confiança Zero requer uma verificação contínua da identidade e das permissões antes da concessão de acesso a dados e recursos.
2.      Utilize o acesso com menos privilégios. Limite o acesso dos utilizadores com políticas adaptáveis baseadas no risco Just-In-Time e Just-Enough-Access (JIT/JEA).
3.      Assuma a falha de segurança. Se algo parecer fora do normal, minimize imediatamente qualquer ameaça potencial ao segmentar o acesso e, em seguida, utilize a análise para identificar o problema e reforçar as defesas.

A segurança de Confiança Zero garante que as informações confidenciais estão sempre protegidas, independentemente do local onde são armazenadas, processadas ou acedidas, sendo, por isso,fundamental para a adoção da IA. À medida que as organizações adotam a IA, ter um modelo de segurança implementado para proteger continuamente os seus recursos mais valiosos permitir-lhes-á impulsionar a inovação e ser mais produtivas.

Juntamente com medidas de segurança mais fortes, os princípios da Confiança Zero podem ser aplicados à implementação da IA:

Ter informações exatas, completas e consistentes é essencial porque determina a qualidade do resultado da IA. Se alguém manipular ou adulterar as permissões da aplicação ou os dados geridos, estes ficarão corrompidos, o que fará com que a ferramenta de IA produza resultados imprecisos, não fiáveis ou tendenciosos. A Confiança Zero protege a integridade dos dados, bloqueando o acesso não autorizado ao longo do ciclo de vida da identidade.

Os controlos de acesso são cruciais para evitar a utilização não autorizada e inadequada da IA e dos dados que a informam. Uma estratégia Confiança Zero reforça estes controlos através da aplicação do princípio do menor privilégio, que impede que os colaboradores acedam a quaisquer dados confidenciais, aplicações, pontos finais ou identidades de potencialmente utilizarem a IA para fins maliciosos.

Tal como acontece com qualquer tecnologia moderna, a IA é vulnerável a violações contratuais e ciberataques - especialmente com dispositivos remotos. As ameaças à segurança podem comprometer a confidencialidade e a disponibilidade de dados geridos, pontos finais e a rede, o que pode ter um grande impacto na privacidade e segurança dos colaboradores e clientes. A Confiança Zero aumenta a segurança avançada através da autenticação multifator e da identificação sincronizada em todos os dispositivos que os seus colaboradores utilizam.

A segurança de Confiança Zero não é um produto ou solução específica. É um conjunto de princípios, práticas e tecnologias que trabalham em conjunto para alcançar um elevado nível de segurança para proteger todas as aplicações, origens de dados, pontos finais, infraestruturas e qualquer tipo de ambiente, quer a sua organização seja baseada na cloud, no local ou híbrida.

Para criar e manter uma base sólida na Confiança Zero, as empresas devem incluir estas funcionalidades e capacidades de segurança importantes:

O primeiro princípio da segurança de Confiança Zero requer a verificação explícita de todas as identidades e dispositivos antes da concessão de acesso. A confiança nunca é assumida ou concedida permanentemente, o que a torna dinâmica e contextual, o que significa que pode mudar com base na situação, localização, tempo ou dispositivo.

O privilégio mínimo concede apenas o nível mínimo de acesso necessário para uma tarefa ou função específica. Este princípio ajuda a reduzir a superfície de ataque e quaisquer danos potenciais de uma falha de segurança, limitando a exposição de dados, infraestrutura, recursos de rede, aplicações ou pontos finais apenas àqueles que deles necessitam. Também impõe a separação de funções e informações conforme a necessidade de conhecimento, o que impede que certos colaboradores acedam a informações altamente confidenciais.

A segurança de Confiança Zero divide as redes e a infraestrutura em zonas ou segmentos mais pequenos com base na confidencialidade dos dados, aplicações, cargos e funções empresariais. Esta medida isola e protege tudo do acesso não autorizado ou malicioso e irá conter e limitar a propagação de uma falha de segurança, restringindo o movimento e a comunicação entre segmentos. A microssegmentação também ajuda a melhorar o desempenho e a visibilidade da rede, uma vez que reduz o congestionamento e permite uma monitorização e um controlo mais amplos.

Esta capacidade permite que as equipas de segurança monitorizem a rede e a infraestrutura para detetar quaisquer anomalias ou comportamentos suspeitos e tomar ações imediatas para isolar ou mitigar o risco. A deteção e resposta a ameaças em tempo real reduz o impacto de uma falha de segurança, identificando e tratando a causa raiz. Também ajuda a melhorar a postura de segurança da organização através de feedback acionável que recomenda adaptação e resiliência contínuas.

Construir uma base segura em Confiança Zero não é um projeto único, mas um percurso contínuo que requer uma visão estratégica, uma abordagem holística e uma mudança cultural.

Estes passos fornecem um caminho amplo para as organizações avaliarem onde estão atualmente, onde querem estar e como podem atingir os seus objetivos de segurança:

O primeiro passo é avaliar as suas medidas de segurança existentes, identificar os pontos fortes e fracos e determinar quaisquer lacunas e riscos potenciais. Uma auditoria irá ajudar a compreender a sua postura de segurança atual e priorizar as suas ações para alocar recursos de acordo.

Identifique quaisquer pontos finais, aplicações, infraestruturas, redes, dados e recursos para as suas operações comerciais que possam causar danos significativos se forem perdidos ou comprometidos. Classifique cada recurso com base no valorizado, confidencialidade e impacto. A identificação de recursos críticos permitir-lhe-á concentrar os seus esforços na proteção do que é mais importante.

Crie e documente regras e políticas específicas para governar as suas áreas de defesa. Estas políticas devem basear-se nos três princípios-chave da Confiança Zero: verificação explícita, privilégio mínimo e assunção de falha de segurança. Estas regras não serão definitivas, mas criarão as bases para o futuro.

Implemente tecnologias que promovam e suportem as suas políticas de Confiança Zero, tais como gestão de identidades e acessos, encriptação e hashing de dados, segmentação e isolamento da rede, deteção e resposta a ameaças, e análise de segurança inteligente. Estas soluções devem ser integradas e alinhadas com os seus processos empresariais, sistemas, operações e objetivos.

Assim que as suas tecnologias estiverem implementadas, eduque os seus colaboradores sobre a importância e os benefícios da segurança de Confiança Zero, juntamente com as suas funções e responsabilidades na implementação e manutenção da mesma. A preparação e consciencialização dos colaboradores podem ajudar a promover uma cultura de segurança avançada e confiança e podem aumentar o seu envolvimento e conformidade. Esta preparação também pode ajudar a evitar ou reduzir os erros humanos, que são uma causa comum das falhas de segurança.

Agora que tudo está operacional, planeie tempo para avaliar o seu desempenho de segurança, identificar quaisquer problemas e encontrar oportunidades de melhoria. A monitorização contínua irá ajudar a manter e a melhorar a sua postura de segurança e a tornar-se mais resistente à medida que o cenário de ameaças evolui ao longo do tempo.

A adoção de uma base de Confiança Zero também pode beneficiar a IA e a sua empresa:

A segurança de Confiança Zero garante que tudo - rede, identidades, pontos finais, aplicações, dados, ferramentas de IA - está protegido, verificado e monitorizado em todos os momentos. Ter uma IA segura comunica confiança e credibilidade aos seus clientes e parceiros ao utilizar a tecnologia de forma responsável.

Um framework de Confiança Zero ajuda a cumprir e a exceder os requisitos e normas regulamentares de segurança e privacidade de dados, como o Regulamento Geral sobre a Proteção de Dados (RGPD), a Lei de Privacidade do Consumidor da Califórnia (CCPA) ou o Health Insurance Portability and Accountability Act (HIPAA). Também ajuda a preparar-se e a responder a regulamentações novas e em evolução para a ética e governação da IA, como a IA Act da Comissão Europeia ou os Princípios de IA da OCDE.

Ao aplicar o princípio de "nunca confiar, verificar sempre" aos seus dados, pode melhorar a privacidade dos dados para utilização de IA, tornando-os acessíveis apenas por colaboradores autorizados para fins legítimos. Também ajuda a respeitar e proteger os direitos e preferências dos titulares de dados, tais como clientes, colaboradores ou parceiros, uma vez que proporciona transparência, controlo e consentimento sobre os seus dados.

Esta capacidade permite que as equipas de segurança monitorizem a rede e a infraestrutura para detetar quaisquer anomalias ou comportamentos suspeitos e tomar ações imediatas para isolar ou mitigar o risco. A deteção e resposta a ameaças em tempo real reduz o impacto de uma falha de segurança, identificando e tratando a causa raiz. Também ajuda a melhorar a postura de segurança da organização através de feedback acionável que recomenda adaptação e resiliência contínuas.

Explore casos de utilização práticos de como ter uma base forte de Confiança Zero ajuda a integração e a segurança da IA

A Confiança Zero pode ajudar a proteger os algoritmos de IA proprietários, os modelos de IA treinados e a propriedade intelectual da IA. Também pode impedir o acesso não autorizado ou malicioso, a modificação ou o roubo, o que mantém a sua integridade e autenticidade intactas. 

• Cenário: Proteja os seus algoritmos de IA na investigação e desenvolvimento, fazendo hashing do seu código de IA, isolando ambientes exclusivos de IA e certificando-se de que os seus programadores de IA apenas têm acesso adequado.

Os pipelines de dados de IA incluem os processos e sistemas que permitem o fluxo de dados desde a recolha até à análise. A Confiança Zero mantém esses dados protegidos, verificados e monitorizados ao longo do seu ciclo de vida e garante que a sua qualidade e precisão são mantidas. 

• Cenário: Proteja o seu fluxo de dados dos dispositivos IoT para a plataforma cloud monitorizando e verificando cada dispositivo IoT, encriptando os dados em trânsito e em inativos e segmentando as zonas de rede para restringir a comunicação bidirecional.

A governação da IA estabelece o frameworks e o processo para garantir que a sua utilização da IA é ética e de forma responsável. A segurança Confiança Zero pode ajudar a monitorizar e auditar o acesso e a atividade da IA para manter a conformidade com as políticas e regulamentos da sua empresa.

• Cenário: Monitorize o desempenho e o comportamento da IA, ao verificar continuamente quem utiliza a IA e os respetivos dispositivos, ao encriptar e colocar em hash os resultados e registos da IA e implementar a deteção e resposta a ameaças em tempo real.

Construir uma plataforma de base em Confiança Zero com a IA em mente cria um modelo que se adapta eficazmente à complexidade do ambiente moderno, abraça o trabalho remoto e híbrido e protege melhor os colaboradores, os seus dispositivos, aplicações e dados, estejam onde estiverem. Permite às empresas tirar partido das tecnologias de IA com confiança, criar novo valor e capacitá-las para inovar e garantir o seu futuro.

A Confiança Zero e a IA complementam-se mutuamente. À medida que as organizações continuam a adotar e a utilizar a IA, precisam de princípios de Confiança Zero para proteger o seu investimento. Em semelhança, à medida que a sua postura de segurança se torna mais complexa e dinâmica, a implementação de IA para automatizar determinadas funções reduzirá a pressão sobre as equipas de TI para que se possam concentrar em tarefas mais importantes.

Criar uma base segura de Confiança Zero para IA é crucial para uma experiência de IA eficiente e segura. Ajuda as empresas a proteger as suas redes, pontos finais, aplicações, identidades, dados e infraestruturas, a melhorar o desempenho da IA e a mitigar os riscos da IA. A Confiança Zero também ajuda as empresas a confiar nos seus sistemas de IA, a aumentar a sua conformidade regulamentar e a melhorar a sua privacidade de dados.

Visite o Centro de Orientação de Confiança Zero da Microsoft para saber mais sobre como criar uma base de Confiança Zero segura para IA.