Segurança cibernética 
A guerra cibernética não se limita mais à geopolítica. O que antes era uma preocupação principalmente para agências governamentais e contratantes de defesa é agora uma
Os funcionários adotam ferramentas, agentes e automações de IA mais rápido do que as organizações conseguem gerenciá-los. O verdadeiro perigo surge quando essas ferramentas se conectam diretamente a sistemas internos e dados confidenciais em nome da produtividade. Entre os funcionários que usam IA no trabalho, uma parcela expressiva o faz sem aprovação formal das equipes de TI ou segurança. Essa prática é conhecida como IA sombra.
Muitas organizações ainda tratam a IA sombra como um problema de exposição de dados, quando, na verdade, ela está se tornando uma questão de governança de identidades. Cada integração de IA não autorizada cria silenciosamente novas contas, credenciais e identidades que operam fora dos controles de acesso tradicionais. As organizações precisam estender os controles de segurança centrados em identidade para cada identidade humana e não humana conectada aos seus sistemas, a fim de recuperar a visibilidade, aplicar a governança e reduzir os riscos de segurança.
O que a IA sombra realmente cria
A IA sombra se propaga rapidamente porque as ferramentas de IA modernas exigem pouca ou nenhuma configuração. Os funcionários podem conectar aplicativos, automatizar fluxos de trabalho e processar dados quase instantaneamente sem envolver a equipe de TI. As ferramentas em si raramente são o problema. O risco vem do que os funcionários conectam a elas. Quando plataformas de IA obtêm acesso a plataformas SaaS, ambientes de cloud e bancos de dados internos, elas introduzem credenciais e identidades que a maioria das equipes de segurança desconhece e para as quais não existe nenhum framework de governança.
Cada integração de IA não autorizada cria novas identidades e credenciais que ninguém está auditando. Cada uma delas aumenta um inventário crescente de contas, pontos de acesso e segredos que a equipe de TI nunca provisionou e, portanto, não consegue revogar. Quando os funcionários criam contas para ferramentas de IA, eles criam identidades com seu próprio escopo de acesso, permissões de dados e históricos de sessão. Essas identidades se multiplicam rapidamente. A equipe de TI acaba com um conjunto invisível de identidades não gerenciadas espalhadas por plataformas externas, sem visibilidade sobre o que podem acessar, sem como auditar o uso e sem um processo de desprovisionamento quando o funcionário deixa a organização.
Quando os funcionários vão além e conectam ferramentas de IA a sistemas internos, introduzem contas de serviço nos ambientes organizacionais. Essas identidades não humanas geralmente operam completamente fora do gerenciamento de ciclo de vida, da rotação de credenciais e da governança de acesso. E cada integração gera credenciais, como chaves de API, tokens e segredos, que muitas vezes acabam armazenados em extensões de navegador ou arquivos de configuração fora do perímetro de segurança. Essas credenciais raramente são rotacionadas e quase nunca são auditadas.
A lacuna de governança de identidades que isso cria
A segurança de identidade tradicional foi desenvolvida para usuários humanos, acesso provisionado pela equipe de TI e perímetros de rede definidos. A IA sombra compromete os três pressupostos ao mesmo tempo.
Em muitos ambientes corporativos, as NHIs já superam as identidades humanas. Agentes de IA com acesso a um banco de dados de produção representam o mesmo nível de risco de acesso privilegiado que um administrador humano com permissões equivalentes. No entanto, eles costumam ser provisionados sem o mesmo rigor, monitorados sem a mesma consistência e desprovisionados sem o mesmo processo.
Nossa própria pesquisa confirma isso. O relatório Identity Security at Machine Speed da Keeper Security constatou que 43% dos responsáveis por decisões de segurança cibernética em todo o mundo identificam o gerenciamento de identidades não humanas relacionadas à IA como uma das principais lacunas em seus programas de governança de identidades. As organizações que reconhecem essa lacuna estão à frente das que ainda não a identificaram.
O que as organizações precisam fazer de forma diferente
A resposta à IA sombra não está em políticas mais rígidas nem em proibições mais amplas. Trata-se de estender os controles de segurança centrados em identidade para abranger cada identidade criada por ferramentas de IA, tanto humanas quanto de máquinas, e tornar a governança contínua em vez de periódica.
Obtenha visibilidade total sobre o uso da IA
As organizações não conseguem governar o que não podem ver. Por isso, precisam descobrir continuamente cada ferramenta, agente, automação e integração de IA, aprovada ou não, que opera em seus ambientes. Ao monitorar suas redes, as organizações conseguem rastrear o uso de aplicativos e desenvolver controles para limitar ferramentas de IA não aprovadas, além de identificar cada NHI criada por essas ferramentas que nunca foi originalmente provisionada pela equipe de TI. Além da descoberta, as organizações precisam implementar monitoramento e gravação de sessões privilegiadas em tempo real para manter visibilidade total sobre os fluxos de trabalho orientados por IA, priorizando auditorias contínuas em vez de revisões periódicas e retrospectivas.
Aplique a segurança de identidade tanto a humanos quanto a máquinas
Cada NHI (Identidade Nacional de Saúde) deve estar sujeita aos mesmos processos de autenticação, autorização e gerenciamento de ciclo de vida que uma identidade humana, com acesso de menor privilégio, rotação automatizada de credenciais e desprovisionamento definido vinculado ao ciclo de vida do proprietário humano ou da carga de trabalho associada. Os mesmos controles aplicados a contas humanas privilegiadas também devem se aplicar aos agentes de IA e contas de serviço que operam junto a elas.
Ofereça aos funcionários um caminho viável
Os funcionários que recorrem à IA sombra muitas vezes não o fazem para contornar a segurança, mas porque desconhecem a existência de uma alternativa gerenciada. Orientações claras sobre quais ferramentas são aprovadas, para quais casos de uso e em quais condições, combinadas com alternativas aprovadas e acessíveis, tratam a causa raiz em vez do sintoma.
Fortaleça sua segurança de identidade para gerenciar a IA sombra
Os modelos de segurança tradicionais foram desenvolvidos para usuários humanos, acesso provisionado pela equipe de TI e limites de rede definidos. A IA sombra compromete esses pressupostos ao introduzir identidades de máquinas, credenciais e integrações não gerenciadas em ambientes de cloud e SaaS cada vez que um funcionário conecta uma ferramenta de IA não aprovada à infraestrutura. As organizações que enxergam a IA sombra apenas como um problema de vazamento de dados ignoram o perigo subjacente: a expansão descontrolada de identidades. Para gerenciar a IA sombra com mais eficácia, as organizações precisam ter visibilidade total sobre o acesso orientado por IA, governança sobre identidades humanas e de máquinas, e controles automatizados para credenciais e acesso privilegiado. Para saber como as organizações estão adaptando suas estratégias de segurança de identidade para ambientes orientados por IA, leia nosso relatório mais recente.
