A esta altura, a maioria das organizações já estará familiarizada com o conceito de agentes de IA: sistemas autônomos que percebem, tomam decisões e realizam ações para atingir objetivos específicos em um ambiente.
Na verdade, atualmente, 82% das organizações usam agentes de IA, muitas vezes em diversas funções de negócios. Estes agentes não são apenas ferramentas passivas: são tecnologias autónomas que atuam, decidem e se adaptam a uma velocidade e escala incríveis.
E estão cada vez mais sofisticados, lidando com tarefas que muitas vezes eram reservadas à supervisão humana qualificada.
CEO e fundador da SailPoint.
O valor comercial dos agentes de IA é indiscutível, mas as potenciais consequências do comprometimento de dados sensíveis podem ser devastadoras, desde a intrusão de sistemas sensíveis até à partilha não autorizada de dados. É preocupante que menos de quatro em cada dez organizações governem os intervenientes da IA, apesar da crescente adoção.
Esta nova realidade exige que os agentes de IA sejam geridos com o mesmo nível de supervisão e governação que os utilizadores humanos. Vejamos o papel que a segurança de identidade pode desempenhar para ajudar as organizações a aproveitar a inteligência da IA sem perder de vista a segurança ou a conformidade.
Pisando no freio do “carro de corrida” da IA.
Os agentes de IA podem operar de forma independente e aprender, adaptar-se e interagir de maneiras difíceis de prever. Sem uma governação forte, podem introduzir vulnerabilidades graves mesmo nos ambientes mais seguros.
Isso não significa que as empresas não devam tirar partido dos agentes de IA, mas devem implementar controlos para manter a sua nova “força de trabalho digital” sob controlo. Pense nisso como os freios de um carro de corrida: eles não existem para desacelerá-lo, eles existem para lhe dar o controle necessário quando você está percorrendo um percurso difícil em alta velocidade.
Neste momento, muitas empresas estão a “conduzir o carro” a toda velocidade, sem travões. O resultado? Os agentes de IA estão fora de controle; 80% das organizações relatam que os seus agentes de IA se envolveram em ações não autorizadas, incluindo acesso e partilha de informações sensíveis.
E, embora a maioria dos líderes tecnológicos (92%) reconheça que a governação dos agentes de IA é crítica para a segurança empresarial, apenas 44% implementaram políticas relevantes.
Para além das questões de conformidade, isto cria vulnerabilidades que afetam toda a cadeia de abastecimento – incluindo funcionários, parceiros e clientes com acesso ao sistema – que podem receber informações incorretas ou, mais perigosamente, expor credenciais de acesso ou outros dados que caem nas mãos de atores mal-intencionados.
Uma análise mais detalhada do gerenciamento de riscos para agentes de IA
Com 98% das empresas a planear implementar implantações de agentes de IA no próximo ano, as empresas só se tornarão mais dependentes desta força de trabalho digital generalizada na próxima década.
Esta explosão de identidades não humanas, juntamente com ameaças cibernéticas cada vez mais sofisticadas, exigirá ferramentas que facilitem uma abordagem mais adaptativa.
No passado, uma abordagem de segurança do tipo “castelo e fosso” era suficiente. As equipes SOC eram responsáveis por entender o que estava acontecendo em um endpoint: seu trabalho era simplesmente proteger os perímetros. Agora, as vulnerabilidades podem explodir facilmente dentro da empresa se os agentes puderem circular livremente e lateralmente nas redes.
Para evitar a “explosão de identidade”, as organizações devem abordar os direitos de acesso dos agentes de IA como os humanos fariam. Isto significa governar de acordo com os seus comportamentos e riscos únicos.
As ferramentas de segurança de identidade de última geração permitem que as empresas implementem políticas de controle de acesso contextuais, granulares e adaptativas, onde o acesso é concedido intencionalmente quando apropriado e negado agressivamente. Imagine um agente de IA no setor financeiro.
Ele pode gerenciar todo o processo de originação de empréstimos: mesclar dados financeiros, analisar histórico de crédito, preparar termos, facilitar a promoção e comunicar-se com as partes interessadas.
A eficiência é significativa, mas os riscos são significativos: sem controlos adequados, esse agente pode interpretar mal os dados, aceitar empréstimos de alto risco ou expor inadvertidamente informações de clientes, causando violações de conformidade ou danos à reputação.
As empresas podem evitar este tipo de risco garantindo que os agentes só possam aceder a registos selecionados ou informações relevantes para um caso específico. Através de uma função e perfil personalizados, o agente teria acesso temporário a registros que desapareceriam após a conclusão das tarefas.
Para minimizar o risco, o agente poderia ser privado de privilégios de sistema administrativo; por exemplo, acesso a registros de auditoria interna, painéis executivos ou relatórios de conformidade regulatória.
Uma visão adaptativa e contextual da identidade garante que os agentes de IA sejam monitorados continuamente e que seus direitos de acesso sejam atualizados à medida que suas funções, comportamentos e perfis de risco evoluem.
Protegendo a força de trabalho digital
À medida que a adoção de agentes de IA aumenta, os líderes empresariais poderão enfrentar uma verdadeira dor de cabeça se implantarem a sua “força de trabalho digital” antes de implementarem sistemas de rastreio de identidade não humana.
É claro que a questão já não é apenas “quem” pode aceder ao quê. É o “o que” está acontecendo no seu ambiente, o “como” está acontecendo e o “porquê”. A boa governação significa que todos os agentes de IA rastreiam o acesso a dados sensíveis, atribuem propriedade clara e impõem fluxos de aprovação antes de conceder ou disseminar o acesso.
Abordagens estáticas e de tamanho único às políticas de acesso já não são suficientes. Uma abordagem adaptativa e baseada no contexto para a segurança de identidade será a base para a adoção responsável, segura e escalável de agentes de IA.
Apresentamos o melhor software de automação de TI.
Este artigo foi produzido como parte do canal Expert Insights da TechRadarPro, onde apresentamos as melhores e mais brilhantes mentes da indústria de tecnologia atualmente. As opiniões expressas aqui são de responsabilidade do autor e não necessariamente da TechRadarPro ou Future plc. Caso tenha interesse em participar, mais informações aqui:
