Segurança de IA Generativa: Por que os direitos são mais importantes do que nunca

A IA Generativa (IAGen) está pronta para liberar uma produtividade sem precedentes, prometendo um impacto econômico enorme. Dados não estruturados estão no centro desta revolução IAGen, fornecendo entradas ricas e diversas para alimentar sistemas IAGen, particularmente Large Language Models (LLMs). Esses dados são 90% dos dados corporativos hoje e vêm na forma de texto, imagens, arquivos de áudio e vídeo e postagens em mídias sociais.

Embora a IAGen aproveite dados não estruturados e estruturados para insights comerciais valiosos, ela vem com seu próprio conjunto de desafios. Neste artigo, você aprenderá como preservar direitos ou permissões de dados é essencial para o sucesso da IAGen.

Por que preservar direitos de dados é essencial para o sucesso do IA Generativa

Uma grande seguradora implantou o Microsoft Copilot, um assistente digital com tecnologia IAGen, em toda a organização. No dia seguinte, eles tiveram que desligá-lo, pois ele expôs que seus controles de acesso a dados no Office 365 eram excessivamente permissivos. Os usuários começaram a receber respostas do Copilot que continham dados altamente confidenciais aos quais eles nunca deveriam ter permissão para acessar. Este incidente não apenas destaca os riscos de segurança de dados associados aos sistemas IAGen, mas também levanta a questão: como podemos lidar com eles?

Em uma pesquisa recente, 71% dos tomadores de decisão de TI citaram que a IAGen introduzirá novas ameaças de segurança aos seus dados. Esses riscos de segurança são exclusivamente novos, em grande parte porque o IAGen geralmente se comporta como uma caixa preta, dificultando a visualização de quais dados ele acessa e expõe. Muitas grandes empresas agora estão limitando ou proibindo o uso de assistentes IAGen no local de trabalho, principalmente devido à falta de visibilidade dos arquivos, documentos e dados confidenciais que esses assistentes podem acessar.

Imagine que sua equipe de marketing envia um prompt para um sistema de conhecimento, esperando acessar dados salariais. Sem controles de acesso adequados, o sistema IAGen pode extrair esses dados salariais confidenciais para gerar sua resposta. Problemas semelhantes podem surgir se estagiários obtiverem acesso a estratégias comerciais confidenciais ou previsões financeiras, profissionais de marketing acessarem demonstrações financeiras detalhadas destinadas apenas à equipe financeira ou a equipe financeira acessar dados confidenciais de clientes destinados apenas à equipe de vendas. Isso pode levar a conflitos e uso indevido de informações confidenciais.

Restrições de acesso não são importantes apenas entre equipes, mas também dentro das equipes. Por exemplo, demonstrações financeiras detalhadas são restritas a analistas financeiros e alta gerência. E se os sistemas IAGen as expuserem a toda a equipe financeira? E o que acontece quando os modelos IAGen aprendem com eles e vazam as informações mais tarde?

Mesmo quando os direitos de dados de origem são limitados a uma equipe ou uma função, os sistemas IAGen têm grande probabilidade de encontrar exposição inadvertida a outras equipes ou funções. Nesses casos, o risco principal é a violação da confidencialidade e privacidade. Isso pode interromper as operações, prejudicar a confiança dos funcionários e levar a consequências legais e competitivas significativas.

Tradicionalmente, você pode gerenciar a conformidade por meio de práticas de governança de aplicação de políticas de acesso e definição de controles. No entanto, os sistemas IAGen não usam consultas padrão para acessar dados de origem, tornando qualquer controle de acesso convencional impossível de implementar. É por isso que é crucial que você esteja vigilante no gerenciamento de direitos de dados para IAGen.

O Gartner define o Gerenciamento de Direitos como uma tecnologia que concede, resolve, aplica, revoga e administra direitos de acesso refinados. Ele abrange políticas de acesso a dados estruturados e não estruturados, serviços e dispositivos. Para IAGen, é essencial preservar os direitos dos dados de origem, garantindo que o acesso aos dados seja restrito às permissões originais e, consequentemente, refletido na resposta IAGen.

Para muitas organizações, os sistemas IAGen ainda estão no estágio de Prova de Conceito (POC). Quando esses POCs passam para a produção, preservar os direitos de dados de origem é essencial para garantir o uso seguro e compatível dos dados.

Desafios na compreensão e aplicação de direitos de acesso a dados

O caso do Copilot ressalta a necessidade de definir e seguir adequadamente boas políticas de higiene de acesso para que a aplicação desses direitos por meio de sistemas IAGen mantenha seus dados protegidos contra vazamentos não intencionais. No entanto, esse processo é repleto de vários desafios. A maioria desses desafios surge porque os modelos de IAGen usam diversos dados não estruturados que não podem ser governados por ferramentas e tecnologias tradicionais.

1. Falta de transparência: os modelos de IAGen geralmente operam como caixas-pretas, dificultando a identificação e o controle dos dados acessados.
2. Propriedade ambígua: a rápida adoção da IAGen aumenta a urgência por uma propriedade clara dos dados. Dados não estruturados geralmente são isolados e não têm propriedade clara. Normalmente, eles são criados e gerenciados em vários departamentos, o que leva à ambiguidade na responsabilização. As empresas podem sequestrar dados não estruturados por motivos legítimos (por exemplo, comentários futuros para uma aquisição) ou por causas menos desejadas (por exemplo, limites políticos entre divisões), complicando ainda mais os problemas de propriedade.
3. Fontes de dados diversas: os dados não estruturados usados ​​pelos sistemas IAGen vêm de fontes variadas e complexas. Garantir a aplicação consistente em todas essas fontes pode ser difícil.
4. Transformações complexas de dados: os dados não estruturados passam por inúmeras transformações complexas antes de serem alimentados aos modelos IAGen. Essas transformações podem afetar o rastreamento e a aplicação de direitos.
5. Aplicação dinâmica e em tempo real: os sistemas de IAGen acessam dados de maneiras dinâmicas e probabilísticas, dificultando o rastreamento e o gerenciamento de direitos. A implementação da aplicação de direitos em tempo real nos pipelines IAGen requer mecanismos avançados de monitoramento e controle.

Direitos de dados: Dados Estruturados vs. Dados Não Estruturados

Dados estruturados	Dados não estruturados
Os direitos são facilmente gerenciados com funções e permissões predefinidas vinculadas a esquemas de banco de dados.	A gestão de direitos é complexa, pois os formatos variam, e entender o contexto é essencial.
O gerenciamento automatizado de direitos é simples devido à estrutura de dados consistente.	A automação é complexa e geralmente exige técnicas de IA e ML para entender o conteúdo e o contexto.
Os sistemas de gerenciamento de banco de dados (DBMS) fornecem recursos robustos para gerenciar direitos de dados.	Ferramentas sofisticadas são necessárias para avaliar e aplicar permissões em um nível granular em diversas fontes de dados.
Políticas de direitos podem ser facilmente dimensionadas em estruturas de dados semelhantes.	Dimensionar políticas de direitos é difícil devido à combinação de atribuição de permissões e compartilhamento discricionário de arquivos.

Como o Securiti preserva e atualiza os direitos para o sucesso da IAGen

Uma preocupação comum com o desenvolvimento de sistemas IAGen é como preservar os direitos de dados de origem e controlar o acesso aos dados conforme as informações são transferidas para o IAGen. O Securiti permite que você use com segurança dados estruturados e não estruturados com o IAGen, mantendo todos os controles de acesso aos dados corporativos. Ele preserva todos os metadados e direitos associados ao transferir dados de sistemas de origem para modelos IAGen. Os sistemas IAGen honram esses direitos analisando o prompt, identificando quais arquivos eles precisam acessar para criar a resposta, combinando os direitos do usuário com os direitos dos dados de origem e, em seguida, acessando os arquivos se permitido ou recusando-se a responder.

A adoção da IA ​​generativa também expôs inadequações nos controles de acesso existentes, destacando a necessidade de auditorias abrangentes. O Data Access Intelligence and Governance (DAIG) da Securiti ajuda as organizações a garantir a higiene adequada do controle de acesso em sistemas de dados existentes. Ao atualizar e aplicar protocolos de acesso robustos, o DAIG da Securiti auxilia as organizações a alinhar seus sistemas de IA com estruturas de governança de dados estabelecidas, minimizando os riscos de acesso não autorizado e maximizando o potencial da IA.

6 melhores práticas para preservar direitos de dados de origem

Preservar direitos abre caminho para proteger seus dados em sistemas IAGen. Seguindo as melhores práticas, você pode evitar vazamento de dados, manter a conformidade e aproveitar totalmente o potencial transformador do IAGen.

1. Inclua dados não estruturados em sua estratégia de segurança de dados corporativos: considere todos os aspectos do uso seguro de dados não estruturados e certifique-se de incluí-los em sua estratégia de segurança de dados. Treine seus funcionários para usar dados com segurança, especialmente para IAGen. A Gartner observa que 82% das violações de dados em 2022 foram resultado de comportamentos de funcionários que não eram seguros ou inadvertidos.
2. Priorize o gerenciamento de direitos: a Gartner recomenda que você priorize a visibilidade e os direitos ao construir seu pipeline de dados de IA. Aprimorar seu gerenciamento de direitos e padronizar o acesso ao pipeline de dados de IA reduzirá significativamente o risco de uso indevido.
3. Invista nas ferramentas certas: a IAGen ajuda a desbloquear o valor de dados não estruturados, que constituem a maioria dos dados corporativos hoje. Selecione ferramentas que utilizam IA e ML para fornecer controles dinâmicos em suas fontes de dados.
4. Garanta direitos robustos para dados de origem: implemente, revise e modifique regularmente os direitos de dados para refletir as mudanças em funções, responsabilidades e requisitos de conformidade atualizados.
5. Mantenha registros de auditoria: rastreie, registre e mantenha todas as mudanças e acessos aos dados de origem. Essa abordagem garante transparência e oferece suporte aos esforços de conformidade.
6. Proteja seus dados confidenciais com revisões de privilégios mínimos: identifique e mapeie funções e permissões de usuários para dados confidenciais em repositórios de dados não estruturados. Para sistemas IAGen, garanta que esses direitos sejam mantidos e aplicados durante a extração de dados e em todos os pipelines ou prompts. Revise regularmente as políticas de segurança e a conformidade para aplicar medidas de proteção de dados adequadas, como criptografia, tokenização e mascaramento.

Em resumo

A preservação dos direitos de dados é crucial no campo em evolução do IAGen para evitar acesso não autorizado e garantir a conformidade. Com os sistemas IAGen aproveitando principalmente dados não estruturados, os controles de acesso tradicionais geralmente ficam aquém. Com o Securiti, você pode preservar os direitos de dados de origem para proteger os dados e abrir caminho para o sucesso do IAGen.