A importância e a evolução do gerenciamento de acesso privilegiado na era da inteligência artificial
Insights de 10 líderes de cibersegurança
A identidade digital sempre foi o pilar da segurança. Saber quem tem acesso a quê torna possível definir regras, monitorar atividades e agir quando algo dá errado. Porém, na era da IA, o conceito de identidade se expandiu. Agora ele inclui não apenas funcionários e contratados, mas também algoritmos, APIs e agentes de IA que tomam decisões em velocidades além da capacidade humana. CISOs e líderes de cibersegurança estão lidando com o desafio de gerenciar essa mudança enquanto mantêm governança, cultura e resiliência.
Recorremos a um grupo de líderes que enfrentam essas pressões diariamente. Alguns possuem cargos semelhantes, mas todos são responsáveis por riscos cibernéticos e respondem pela segurança de suas organizações, além de orientar seus conselhos executivos. A diversidade de seus cargos reflete o próprio cenário empresarial: hoje, a responsabilidade pela cibersegurança está distribuída entre CTOs, CISOs, chefes de segurança e gestores de TI.
A seguir, apresentamos uma série de perspectivas sobre como as práticas de gerenciamento de acesso privilegiado (PAM) precisam evoluir na era da IA: como as ameaças estão mudando, como os controles estão se adaptando e como as organizações podem se posicionar para alcançar maior resiliência. Também compartilhamos insights práticos da linha de frente e recomendações específicas para diferentes setores sempre que relevante.
Relatório por Jane Frankland, MBE
O painel de especialistas
Selecionamos um painel diversificado de especialistas de cinco setores e regiões diferentes. Eles compartilham suas perspectivas sobre alguns dos principais desafios que os responsáveis pelas decisões de segurança cibernética enfrentam atualmente..
Sandy Dunn, CISO da SPLX.AI
Identidades de máquinas e agentes de IA agora superam as de pessoas na maioria das organizações em mais de 80 para 1. O segredo é tratar os agentes como estagiários privilegiados e bêbados — dê a cada um sua própria identidade, mantenha credenciais de curta duração e vincule tudo a um ser humano para garantir responsabilidade. Limite os privilégios ao que for necessário, mantenha limites claros e monitore em tempo real para que, se eles saírem do seu escopo, você perceba rapidamente.
George Papakyriakopoulos, CISO da Skroutz S.A.
O principal desafio não é apenas se defender de ataques impulsionados por IA, mas proteger os próprios agentes, que na prática se tornaram os novos superadministradores e assumem muitas identidades críticas. A própria definição de identidade privilegiada será permanentemente ampliada para incluir agentes que possuem um nível de acesso consolidado muito maior do que qualquer ser humano.
Simon Legg, CISO da Hastings Direct
O importante a reconhecer é que os controles projetados para dar suporte a seres humanos não são necessariamente os mesmos necessários para dar suporte a sistemas. Os sistemas conseguem lidar com uma carga maior de controles do que os humanos.
Stu Hirst, CISO da Trustpilot
Agentes de IA provavelmente se tornarão comuns nas organizações, por isso o gerenciamento de identidade precisa evoluir para se tornar centrado em entidades. Agentes de IA precisarão de onboarding, gestão do ciclo de vida, atestação e offboarding, assim como os funcionários humanos, mas na velocidade das máquinas.
Ejona Preci, Group CISO do LINDAL Group
Todo agente de IA deve ter uma identidade única e rastreável, governada por controles de política granulares e apoiada por monitoramento em tempo real com detecção de anomalias. Quando o comportamento ou o nível de risco de um agente ultrapassa determinados limites, seus privilégios devem ser encerrados imediatamente. Qualquer coisa diferente disso é um convite aberto ao caos.
Erhan Temurkan, Diretor de Segurança da Informação em uma empresa de serviços financeiros
Com o tempo, PAM, IAM e governança de IA irão se fundir em uma disciplina unificada centrada na pergunta: quem — ou o quê — tem acesso, quando e por quê.
Yasin Carkci, CTO na Tams Finans
Dentro de cinco anos, o PAM evoluirá de um controlador de acesso estático para um orquestrador de risco em tempo real. À medida que as interações máquina-a-máquina dominarem, o tempo de vida das identidades diminuirá para minutos. O PAM precisará validar versões de modelos, aplicar políticas dinâmicas e revogar privilégios instantaneamente.
Goher Mohammad, Chefe de Segurança da Informação da L&Q
Mesmo que nós, como empresa, disséssemos que não usaríamos IA, a adoção ainda aconteceria de diferentes formas. Todo mundo tem curiosidade sobre IA, sabendo ou não usar um computador.
Panagiotis Soulos, Senior Manager de GRC de Segurança da Informação e vice-CISO na STEELME
“Ao implementar PAM para agentes de IA, os CISOs devem priorizar governança, aplicação do princípio de menor privilégio e monitoramento em tempo real de identidades não humanas. Definir responsáveis, garantir rastreabilidade e aplicar controles de acesso just-in-time são fundamentais. Educar os funcionários sobre uso responsável de IA e higiene de prompts é igualmente essencial.
River Nygryn, COO na Bullion FX
A ferramenta deve aprimorar, e não substituir, sua governança e disciplina operacional.