by al10sk29dj38
Bookmark

De 2024 a 2025: Como essas tendências de GRC estão remodelando o setor

De acordo com a Cybersecurity Ventures, o custo global do crime cibernético está projetado para atingir a impressionante quantia de US$ 10,5 trilhões em 2025, aumentando os US$ 9,5 trilhões em 2024. Este lembrete gritante da necessidade urgente de fortes medidas de segurança cibernética dentro das estruturas de Governança, Risco e Conformidade (GRC) foi marcado por mudanças e inovações significativas no cenário de GRC este ano.

Neste post vamos abordar os 10 principais desenvolvimentos que se destacaram e explorar como as empresas podem se preparar para os desafios e oportunidades que 2025 trará.

1. A União Europeia continua seu impulso regulatório com DSA, DORA e EU AI Act

Começando em 2016 com o Regulamento Geral de Proteção de Dados (GDPR), a União Europeia liderou o mundo em termos de regulamentação de segurança cibernética e privacidade. Este ano, essa tendência continuou com:

  • Digital Services Act (a aplicação total do DSA começou em fevereiro)
  • Digital Operational Resilience Act (DORA, entrando em vigor em janeiro de 2025)
  • Artificial Intelligence Act (AI Act, aprovada neste verão)

Independentemente de como esse fardo regulatório afeta a inovação, as empresas precisarão lidar com isso. Se o GDPR for um exemplo, os regulamentos subsequentes provavelmente farão com que outras jurisdições aprovem leis semelhantes. Isso se comprova à medida que vários regulamentos surgem globalmente.

2. Expansão das regulamentações estaduais dos EUA

Com a privacidade de dados e a segurança cibernética sendo uma prioridade relativamente baixa no nível federal para ambos os partidos políticos americanos, estados individuais começaram a implementar suas próprias regras. A Bloomberg Law relatou que aproximadamente 20 estados já aprovaram suas próprias leis abrangentes de privacidade de dados. Algumas das principais que estão em movimento desde 2024 incluem:

  • A Lei My Health My Data do estado de Washington (MHMDA, aplicada a partir de março de 2024)
  • A Lei de Inteligência Artificial do Colorado (com base na Lei de IA da UE e aprovada em maio de 2024).

A regulamentação estadual provavelmente continuará, pois o governo federal se concentra em outro lugar durante a próxima administração presidencial. E já estamos vendo estados como o Texas proporem suas próprias leis de governança de IA. Sobre a ação federal em segurança cibernética, a Administração Biden de saída concentrou seus esforços em uma iniciativa que pode não acabar dando frutos.

3. Ascensão (e talvez queda) dos padrões “Safe Harbor” para segurança de software

Começando com o lançamento em 2023 da Estratégia Nacional de Segurança Cibernética, a Casa Branca e a Agência de Segurança Cibernética e de Infraestrutura (CISA) se esforçaram muito para estabelecer padrões obrigatórios para o desenvolvimento de software. No entanto, devido aos desafios de codificar tais regras e à saída planejada da Diretora da CISA, Jen Easterly, é improvável que esse esforço se materialize em legislação em um futuro próximo.

Com isso dito, a CISA lançou uma promessa voluntária “Secure by Design” permitindo que os fabricantes de software se comprometessem com certas etapas. Isso inclui fornecer recursos como autenticação multifator aos clientes sem custo adicional.

4. Preocupações com segurança e conformidade retardam a adoção da IA

Apesar de toda a ênfase em torno da IA, ainda há um ceticismo substancial sobre sua segurança e privacidade de dados. A pesquisa “Zeitgeist” de 2024 da Scale AI revela que 60% dos entrevistados que ainda não adotaram a IA citam preocupações com segurança e falta de experiência como as principais barreiras à implementação. Da mesma forma, a LucidWorks encontrou um aumento de quase 3x nas preocupações com segurança de dados relacionadas à IA generativa de 2023 a 2024 em seu Estudo de Referência Global.

Existe claramente um meio-termo entre negligenciar o potencial da IA ​​e usá-la sem restrições, o que pode levar a riscos excessivos. Guardrails e estruturas de governança eficazes são essenciais aqui. E eles até facilitam o aproveitamento da IA ​​para tarefas de segurança e conformidade.

5. A IA ajuda com segurança e conformidade

Apesar das preocupações sobre sua eficácia, bem como a segurança de dados, as empresas estão, ao mesmo tempo, alavancando a IA para acelerar os esforços de GRC. Especialmente quando se trata de tarefas repetitivas, como preencher questionários de segurança, a IA demonstrou enorme potencial para aumentar a produtividade das equipes de segurança e conformidade.

6. Direitos de propriedade intelectual se confundem na era da IA

Junto com as considerações diretas de segurança, ainda há muitas questões sem resposta sobre a aplicabilidade da lei de propriedade intelectual existente quando se trata de inteligência artificial. O Escritório de Direitos Autorais dos EUA disse no início de 2024 que trabalhos com conteúdo gerado por IA não poderiam ser protegidos por direitos autorais sem evidências de contribuição humana. Embora isso tenha acrescentado alguma clareza ao debate, ainda deixou questões não resolvidas sobre:

  • Se treinar modelos de IA generativa em notícias públicas constitui “uso justo”
  • Se ferramentas de geração de código podem ser treinadas em bibliotecas licenciadas de código aberto
  • As obrigações das empresas mais abaixo na cadeia de suprimentos

Sem precedentes para orientá-los, até mesmo alguns advogados não têm certeza de como proceder. De uma perspectiva prática, porém, faz sentido investigar as disposições de indenização que os principais fornecedores de IA generativa, como OpenAI e Microsoft, oferecem. Elas podem potencialmente fornecer um apoio legal se uma empresa for desafiada por motivos de propriedade intelectual.

7. No-code e low-code adicionam outro fardo às equipes de GRC

Além de (e combinadas com) ferramentas de IA, há ofertas no-code e low-code que oferecem recursos extremamente poderosos para não desenvolvedores. Esses aplicativos permitem que os funcionários criem front-ends e back-ends totalmente funcionais, incluindo interfaces de programação de aplicativos (API). Embora esses sistemas possam fazer a produtividade explodir, eles também apresentam riscos exclusivos. Ferramentas no-code e low-code podem representar riscos, principalmente porque funcionários menos treinados podem afetar inadvertidamente a confidencialidade, integridade e disponibilidade de grandes volumes de dados.

A apresentação de Michael Bargury, “15 maneiras de quebrar seu copiloto”, na conferência de segurança cibernética Black Hat em agosto de 2024, reforça esse ponto destacando os desafios de segurança e conformidade dessas ferramentas, principalmente quando combinadas com IA.

8. Novas tecnologias significam novas estruturas de conformidade

Felizmente, conforme novas tecnologias surgem, também surgem novas maneiras de protegê-las. Em 2024 foram lançadas muitas abordagens de GRC específicas de IA, incluindo:

  • Databricks AI Security Framework (DASF)
  • Open Web Application Security Project (OWASP) Os 10 principais riscos para Large Language Models (LLM)
  • HITRUST AI Security Certification

Essas ferramentas fornecem excelente orientação aos profissionais de GRC (e dão a eles mais dever de casa para fazer). Combinado com as primeiras certificações credenciadas de empresas sob o padrão ISO 42001, o lançamento dessas estruturas fez de 2024 um grande ano para GRC relacionado à IA.

9. Responsabilidade pessoal para líderes de empresas violadas

2024 foi um ano marcante também de outras maneiras. Em todo o mundo, os reguladores começaram a mirar executivos individuais para ações regulatórias relacionadas a supostas fraquezas de segurança cibernética em suas empresas. Começando com as ações da Comissão de Valores Mobiliários dos EUA (SEC) contra a SolarWinds e seu Diretor de Segurança da Informação (CISO) no final de 2023, outros países seguiram o exemplo.

Após a violação da Change Healthcare no início de 2024, um senador dos EUA solicitou investigações da SEC e da Federal Trade Commission (FTC) sobre ela e a empresa controladora UnitedHealthcare. Descrevendo as empresas como “negligentes”, este senador sugeriu que a responsabilização pessoal por seus executivos pode ser apropriada, dado o dano causado pela violação.

Os CISOs e outros consultores de risco tradicionalmente desempenham papéis consultivos na gestão de riscos, mas uma tendência crescente indica que eles estão cada vez mais sendo responsabilizados por decisões críticas. Por exemplo, desenvolvimentos regulatórios como o New York Department of Financial Services (NYDFS) Cybersecurity Regulation (23 NYCRR §500.4), em vigor em novembro de 2024, exigem que os CISOs se reportem diretamente ao conselho e exijam maior supervisão do conselho sobre riscos de segurança cibernética. Documentar claramente as decisões e dar suporte às justificativas se tornará, portanto, uma parte fundamental da defesa contra a responsabilidade individual caso o pior aconteça.

10. A conformidade como código ganha força

Um desenvolvimento final e positivo  de 2024 é a integração da engenharia de GRC (que alguns descrevem como “conformidade como código”). Um manifesto escrito por vários profissionais em 2024 anunciando o lançamento de seu movimento, foca em tornar a conformidade mais eficaz e eficiente. Ele enfatiza o uso de automação, medição de risco prática e ferramentas de código aberto, ao mesmo tempo em que prioriza soluções que funcionam bem para os usuários, não apenas para as equipes de GRC. Ao abordar os problemas mais cedo nos processos e tratar a conformidade como uma função central, essa abordagem visa melhorar os resultados e simplificar práticas tradicionalmente complexas.

Ao incorporar a conformidade e o gerenciamento de riscos em pipelines de desenvolvimento e sistemas operacionais, os profissionais de GRC podem garantir que as medidas de governança e segurança evoluam junto com a tecnologia. Os profissionais também podem colaborar mais de perto com as equipes de engenharia para cocriar soluções, promovendo uma cultura em que a conformidade é vista como uma responsabilidade compartilhada em vez de um gargalo. Aproveitando insights baseados em dados e mecanismos de garantia contínua, os profissionais de GRC podem fornecer visibilidade em tempo real dos riscos, permitindo uma tomada de decisão mais rápida e informada.

Conclusão

O ano de 2024 foi um ponto de virada para o cenário de GRC, com um aumento na atividade regulatória, avanços tecnológicos e riscos de segurança em evolução remodelando a forma como as organizações abordam governança, risco e conformidade. À medida que entramos em 2025, os riscos são maiores do que nunca. As empresas devem navegar em uma rede cada vez mais complexa de regulamentações globais, alavancar tecnologias emergentes como IA de forma responsável e abordar proativamente desafios como responsabilidade pessoal e lacunas de conformidade em novas ferramentas.

O caminho a seguir está em abraçar a inovação, garantindo estruturas robustas de segurança e conformidade. Ao tratar o GRC como um facilitador estratégico em vez de um obstáculo operacional, as organizações podem não apenas atender aos requisitos em evolução, mas também construir resiliência e promover a confiança em um mundo em rápida mudança.

Para saber mais, clique aqui.

Descubra mais sobre SegInfo - Portal, Podcast e Evento sobre Segurança da Informação

Assine agora mesmo para continuar lendo e ter acesso ao arquivo completo.

Continue reading