O Black Hat deste ano teve uma ideia clara: a verdadeira batalha é conhecer seus dados e IA... e mantê-los sob controle.
A governança de dados voltou a ser popular graças à IA: tudo gira em torno dos dados, então os CISOs estão cada vez mais se apropriando deles, mas eles querem governança com controles. O inventário de ativos de IA é reconhecido como uma necessidade fundamental, pois não se pode proteger o que não se conhece. A visibilidade da demanda por dados e explorações continua sendo uma prioridade constante ao longo dos anos, mas agora vemos uma identificação mais granular de casos de uso entre a proteção de aplicativos desenvolvidos internamente e o acesso de funcionários a aplicativos de IA, o que está gerando questionamentos sobre como interceptar e proteger os diferentes vetores de ameaças com o mínimo de complexidade ou proliferação de agentes.
Abaixo estão os principais pontos que dominaram as discussões entre CISOs, arquitetos de segurança e líderes de risco.
1. A segurança e a governança da IA estão em primeiro plano
Como IA generativa está incorporada em todas as funções de negócios, e os líderes de segurança estão sendo solicitados a considerar tudo: os modelos, os dados, o acesso, o risco. A conversa foi além das ameaças teóricas. As equipes querem respostas reais para perguntas reais: Onde estão nossos modelos? Quais dados confidenciais eles estão usando? Quem os está orientando e o que eles podem fazer?
Os líderes de segurança estão priorizando:
- Inventário completo de modelos e conjuntos de dados de IA, especialmente aqueles treinados ou que usam dados confidenciais
- Avaliações de risco repetíveis que avaliam o uso da IA, o comportamento do modelo e a exposição regulatória
- Controles que regem como os dados fluem para os sistemas de IA, com classificação e visibilidade de linhagem
- Controle de acesso em nível de prompt e aplicação de políticas para evitar uso indevido ou vazamento
Não se trata de proteger a IA no futuro. Trata-se de proteger a IA que já está em produção hoje.
2. A visibilidade dos dados ainda é o gargalo
Apesar de anos de investimento, a maioria das organizações ainda tem dificuldade em responder a perguntas fundamentais sobre seus dados. O que temos, onde está e quem pode acessá-los? Sem uma visão clara do seu cenário de dados, as equipes de segurança não conseguem proteger o que importa nem comprovar a conformidade.
Os temas mais comuns incluíram:
- Descoberta de dados escalável e automatizada em ambientes de nuvem, locais e híbridos
- Classificação que se adapta ao contexto específico do negócio, não apenas a padrões genéricos
- Visibilidade profunda em plataformas de nuvem como Floco de neve e S3, onde a dispersão de dados está a acelerar
- Ferramentas de linhagem que conectam a descoberta de dados ao gerenciamento de configuração e à aplicação de políticas
Antes de controlar riscos, você precisa ter controle sobre seus dados. Isso começa com o conhecimento do que você tem.
3. A segurança precisa se integrar à maneira como a empresa funciona
Ferramentas de segurança que criam novos silos são deixadas de lado. Ferramentas de segurança que se encaixam em fluxos de trabalho existentes são adotadas. A mensagem era consistente: se sua plataforma não puder se conectar ao restante do ecossistema, ela será abandonada.
As equipes de segurança estão procurando ativamente por:
- Integrações estreitas com plataformas GRC, IAM, DLP, UEBA e pipelines de dados existentes
- Conexões em ServiceNow, Floco de neve, e outros sistemas críticos de negócios
- Formas de operacionalizar as descobertas de segurança por meio de processos existentes, não de novos
O objetivo não é apenas a detecção. É alinhamento, ação e responsabilização em toda a organização.
4. A pontuação de risco não é suficiente sem ação
Registros de risco e estruturas de pontuação só são úteis se levarem a algo. Diretorias querem clareza. Equipes de GRC querem consistência. Segurança quer capacidade de agir.
Os líderes estão elevando o nível:
- Pontuações de risco precisam ser mapeados para ameaças, estruturas e obrigações do mundo real
- Relatórios deve ser digerível por públicos não técnicos e vinculado ao impacto empresarial
- Remediação as opções devem ser incorporadas à plataforma e não deixadas ao esforço manual
Se o resultado da análise de risco for um número e um painel, você estará apenas na metade do caminho. As equipes de segurança precisam de ferramentas de risco que as ajudem a fazer algo a respeito.
5. Implantação leve e sem agentes é o novo padrão
Os orçamentos de segurança estão cada vez mais apertados. Os recursos estão limitados. E a complexidade é o inimigo. Os CISOs não estão mais dispostos a adotar ferramentas que exigem agentes, proxies ou prazos de implementação prolongados.
A preferência é clara:
- Implantações sem agentes que reduzem a sobrecarga operacional
- Arquiteturas API-first e ferramentas baseadas em navegador que se integram sem interrupções
- Elevador mínimo para equipes de engenharia e operações de segurança
Quanto menos esforço for necessário para implantar e manter uma ferramenta, mais rápido ela se tornará útil e maior será a probabilidade de permanecer em uso.
Anúncios do BigID na Black Hat 2025
BigID fez uma apresentação ousada na Black Hat com uma série de anúncios de produtos importantes que refletem para onde a indústria está indo - focando diretamente em Governança de IA, proteção de dados sensíveis e visibilidade de riscos em tempo real. Destaques:
- Mecanismo de classificação de prompts com tecnologia de IA: a primeira interface de linguagem natural do setor para descoberta e classificação de dados. Com este lançamento, a BigID substitui sistemas rígidos baseados em regras por um mecanismo com inteligência artificial que permite aos usuários descrever o que procuram em linguagem simples e, em seguida, encontrar e classificar os dados automaticamente.
- Descoberta de IA de Sombra: Descubra modelos de IA não autorizados ou desonestos em toda a empresa. Este recurso oferece às equipes de segurança visibilidade total sobre implantações de IA ocultas e uso descontrolado de modelos.
- Rotulagem de dados de IA para aplicação de uso: Aplique políticas de uso específicas de IA para garantir que dados confidenciais ou regulamentados sejam usados somente de forma adequada por modelos e aplicativos de IA.
- Limpeza de dados de IA: Obtenha prontidão de dados de IA, incluindo limpeza inteligente de dados confidenciais e regulamentados, e permita que as organizações reduzam os riscos antes mesmo que os dados entrem em um pipeline de IA.
- Torre de Vigilância para IA e Dados: Consciência situacional para o risco de IA e dados. O BigID fornece alertas contínuos e insights contextuais sobre o comportamento do modelo, o uso de dados e as violações de políticas em toda a empresa, tudo isso em um piscar de olhos.
- AI TRiSM (Gestão de Confiança, Risco e Segurança): Gerencie a confiança, o risco e a segurança de modelos e dados de IA – do SPM de IA às avaliações de risco e muito mais.
Juntas, essas inovações demonstram uma mudança de relatórios passivos para o controle proativo sobre os sistemas de IA e os dados confidenciais que eles consomem, ajudando as empresas a se moverem mais rápido e com mais confiança em um cenário de IA de alto risco.
Palavra final: a segurança está evoluindo – as ferramentas também devem evoluir
Líderes de segurança não querem mais ruído, mais painéis ou mais estruturas teóricas. Eles querem clareza. Controle. Confiança. O futuro da segurança cibernética reside na visibilidade, integração e ação – especialmente à medida que a IA se torna mais integrada à forma como as empresas operam.
Os resultados do Black Hat 2025 deixam claro: as equipes de segurança modernas exigem visibilidade, flexibilidade e capacidade de ação. Os participantes desta próxima era serão plataformas que entendam como operacionalizar insights, integrar-se aos ecossistemas existentes e proteger a IA de dentro para fora.
Quer se manter à frente? Priorize soluções que entendam a mudança… e se preparem para ela. Veja como o BigID pode ajudar sua organização a conectar os pontos em dados e IA.
