Consistentemente tenho dito que todo tipo de empresa tem se tornado uma empresa de dados. Isso sempre soou aceitável para diversos tipos de setores, mas quando fundei a SciCrop percebi grande resistência das companhias do agronegócio e alimentos em entenderem e aceitarem essa mensagem – todavia, nos setores como energia e meio ambiente, nos quais a SciCrop também atua, houve melhor recepção (Clique aqui para conhecer nossos cases).
Independente da aceitação, as empresas destes setores estão, como as dos demais, em plena transformação, seja estratégico ou não, cada departamento identifica no mercado ou no ecossistema os dados, sistemas, algoritmos que podem trazer valor ao negócio ou simplesmente acelerar processos internos e encaminha para contratação ou desenvolvimento. Trata-se de um movimento contínuo, descentralizado e autonômo.
Acontece que a adoção cada vez mais rápida de data science e IA abre brechas de segurança que representam grande risco às empresas.
Brechas de segurança relacionadas a IA:
Os problemas mais comuns relacionados a estas brechas têm sido:
- Ataques de envenenamento de dados: quando um atacante tenta inserir dados falsos ou manipulados no conjunto de dados de treinamento, a fim de influenciar os resultados do modelo.
- Ataques de modelagem: quando um atacante tenta obter acesso aos dados de treinamento ou ao modelo em si, a fim de roubar informações sensíveis ou modificar o modelo para obter resultados desejados.
- Ataques de negação de serviço (DoS): quando um atacante sobrecarrega o sistema com tráfego malicioso para interromper o funcionamento normal do modelo.
- Ataques de privacidade: quando um atacante tenta acessar informações pessoais ou sensíveis contidas nos dados de treinamento ou nos resultados do modelo.
- Ataques de adversários: quando um adversário tenta enganar o modelo ou manipular seus resultados, ou gerar resultados antiéticos, muitas vezes explorando vulnerabilidades no algoritmo ou na arquitetura do modelo.
A demora dos gestores empresariais em aceitarem e abraçarem a transformação estratégica de seus negócios em empresas de dados, ou até mesmo em empresas de software gera um prejuízo competitivo imediato.
Por outro lado, mesmo que, como disse anteriormente, a transformação já tenha começado, o fato dela não ser direcionada e simplesmente orgânica desperdiça esforços, recursos e se mantém apenas como uma ação reativa, não planejada. Mas além disso, essa letargia, coloca toda a empresa sob uma nova ameaça “invisível” de cibersegurança, pois cada ator desta transformação age sem um protocolo ou política de uso das tecnologias relacionadas à gestão de dados, predições ou otimizações de processos.
Muitos desses atores, ainda que bem intencionados, agirão sem nenhum ou quase nenhum suporte das equipes de TI e, mesmo quando este suporte existir, a ausência de um protocolo ou política levará a um tratamento genérico de cada contratação ou implementação de IA, Data Science, Analytics, Machine Learning etc, quando além dos problemas que já citei (diretamente relacionados a segurança da informação) existem outras questões correlatas que também requerem suporte específico, como:
Problemas além da segurança da informação:
- Violação de privacidade: Com a utilização de data science, IA e machine learning, as empresas podem estar trabalhando com grandes quantidades de dados, incluindo informações pessoais e sensíveis de seus clientes e funcionários. A violação desses dados pode ter consequências graves, incluindo multas, perda de credibilidade e danos à reputação.
- Vazamento de informações: As informações e dados confidenciais que são processados pelas técnicas de data science, IA e machine learning podem ser alvos de hackers e cibercriminosos. Vazamentos de informações podem prejudicar gravemente as empresas, principalmente em casos em que se tratam de segredos comerciais, informações estratégicas ou propriedade intelectual.
- Viés e discriminação: Os modelos de machine learning e IA podem reproduzir e amplificar preconceitos e discriminações existentes na sociedade se não forem treinados e monitorados adequadamente. Isso pode levar a decisões injustas e potencialmente discriminatórias em áreas como contratação, crédito, seguros e justiça criminal.
- Falta de transparência: À medida que as empresas se tornam mais dependentes de sistemas baseados em data science, IA e machine learning, é importante que os usuários compreendam como os modelos estão tomando decisões e quais dados estão sendo usados. A falta de transparência pode aumentar a desconfiança dos usuários e pode prejudicar a adoção dessas tecnologias.
Já os gestores que de fato entendem a irreversibilidade da transformação digital, e que esse processo deve ser protagonizado estrategicamente por eles mesmos, sabem também que o uso de IA, Data Science, Analytics e Machine Learning representa uma mudança histórica e portanto cada departamento de sua empresa deverá seguir o planejamento de adoção de tais tecnologias, com todo o suporte de mitigação dos efeitos colaterais que poderão ocorrer.
Planejamento, Políticas e Processos:
Sobretudo, este tipo de planejamento inclui os seguintes protocolos, políticas e processos:
- Política de segurança da informação: As empresas devem ter uma política clara de segurança da informação que cubra a segurança de dados e os elementos que envolvem o uso e implementação de IA, Data Science, Analytics e Machine Learning, além da conformidade regulatória e a privacidade dos usuários.
- Gestão de risco: As empresas devem identificar e avaliar regularmente os riscos relacionados ao uso de data science, IA e machine learning em suas operações. Isso envolve a identificação de possíveis vulnerabilidades e a implementação de medidas de mitigação.
- Acesso seguro aos dados: As empresas devem garantir que o acesso aos dados seja controlado e restrito apenas às pessoas autorizadas, principalmente quando tais dados são usados como bases de treinamento de modelos de machine learning.
- Proteção de dados: As empresas devem garantir a proteção adequada dos dados através de técnicas de criptografia, backups regulares, firewalls, e outros métodos de segurança. Especificamente todo tipo de API que intermedia as chamadas de recursos de IA, Analytics, Data Science, sejam internas ou de SaaS/PaaS deve ser especialmente protegidas.
- Transparência e explicabilidade: As empresas devem garantir que seus modelos de IA e machine learning sejam transparentes e explicáveis. Isso envolve o fornecimento de informações sobre como as decisões são tomadas e quais dados são usados para treinar os modelos.
- Monitoramento constante: As empresas devem monitorar regularmente seus sistemas de data science, IA e machine learning para identificar atividades suspeitas ou anormais. Isso pode incluir o uso de ferramentas de detecção de anomalias e a implementação de procedimentos de resposta a incidentes.
Quanto mais tarde a empresa compreender os impactos que a IA, Data Science, Analytics, Machine Learning causaram em seus mercados, maiores serão os riscos que ela enfrentará e mais difícil será a mitigação.
Portanto, é fundamental que os gestores estejam atentos às tendências tecnológicas e se preparem adequadamente para adotá-las de forma estratégica e segura.
Além disso, é importante que todos estejam cientes de que a segurança da informação é um aspecto crítico da transformação digital e devem dedicar recursos suficientes para garantir que a segurança da informação seja uma prioridade em todos os aspectos das operações da empresa.
Nestes anos de SciCrop, os clientes que estão mais alinhados com estas questões têm sido de grandes grupos internacionais, dos Estados Unidos, Europa e China. São empresas que estão conosco há anos e encontraram na SciCrop a expertise necessária para execução de seus projetos . Faça como eles e traga suas demandas de AI, Data Science e Analytics para a SciCrop!
