Por Daniel dos Santos

Muito se fala sobre o uso da inteligência artificial nas empresas, mas, segundo um estudo divulgado recentemente pela empresa F5, companhia global da área de fornecimento e proteção de aplicações e APIs, apenas 2% das empresas estão preparadas em alto nível para escalar a IA com segurança em todas as operações. Neste grupo seleto estão gigantes de tecnologia e os maiores conglomerados de finanças.

Para fazer esse levantamento, foram ouvidos 650 líderes de TI e 150 estrategistas de IA. Os entrevistados atuam em organizações com receita anual entre US$ 200 milhões e 10 bilhões de dólares. O relatório mostra que, embora 77% das empresas demonstrem uma preparação moderada para a IA, a maioria carece de uma governança robusta e de segurança entre nuvens, aumentando a exposição a riscos.

Em entrevista ao AIoT Brasil, Vitor Gasparini, engenheiro de soluções da F5, fala sobre esse cenário preocupante e destaca que a IA Generativa está entrando nas organizações “pelas bordas, sem controle”.

AIoT Brasil – O levantamento da F5 aponta que apenas 2% das empresas estão altamente preparadas para escalar a IA. Por que esse número tão pequeno e quais são as principais características que diferenciam essas organizações das demais?

Vitor Gasparini – A pesquisa SOAS AI mapeia o que está se passando num universo de 650 empresas com faturamento anual que fica entre 200 milhões e 10 bilhões de dólares. No topo desta pirâmide estão algumas das maiores empresas do mundo, organizações que há anos confiam na F5 para resolver os desafios de entrega e proteção de aplicações e APIs.

Os 2% de empresas que, segundo os critérios de classificação da pesquisa, estão altamente preparadas para escalar a IA destacaram-se em pontos como amplitude das aplicações de IA, penetração da IA – medida pela porcentagem de Apps baseados em IA – e diversidade de modelos, refletida no número e na variedade de modelos de IA implantados pela organização.

Esse grupo inclui, principalmente, as Big Techs e alguns dos maiores conglomerados financeiros do mundo. São empresas que construíram suas próprias IA e hoje ditam modelos a organizações de todos os portes, em todas as geografias. Elas estão altamente preparadas para a IA porque seus negócios já são profundamente dependentes da IA, o grande motor de crescimento destas potências econômicas.

O maior universo pesquisado (77%) está na categoria moderadamente preparado para a IA. Em geral, são empresas que ultrapassaram a fase do uso “livre” e pontual da IA para buscar uma abordagem mais controlada dessa tecnologia. Outros 21% são as organizações pouco preparadas para a IA.

AIoT Brasil – O relatório mostra que mesmo grandes empresas enfrentam desafios de governança e segurança. Por que essas áreas ainda são gargalos críticos para a adoção da IA?

 Vitor Gasparini – É importante destacar que, mais do que apontar as maiores usuárias de IA, esse relatório mapeia quem de fato está altamente preparado para extrair o máximo valor de negócios deste novo modelo. Isso explica por que em outros países e também no Brasil até mesmo grandes empresas enfrentam dificuldades para realizar a governança e a segurança de dados. Como já aconteceu tantas vezes na história da tecnologia, a IA Generativa vai entrando nas organizações pelas bordas, sem controle, muitas vezes no formato de Shadow IA. Isso significa um quadro em que os colaboradores, em busca de maior produtividade, tomam a iniciativa de usar Apps públicas em que dados privados correm o risco de vazar ou serem usados de forma ilícita.

O uso da IA nas empresas é inevitável. Para elevar o nível de preparação para a IA, CISOs, CIOs e todos os líderes de negócios precisam estudar como criar a infraestrutura, a segurança e a governança necessárias para que a IA seja consumida na empresa de uma forma que suporte os negócios e não apenas signifique uma superfície de ataque expandida. Sem isso, veremos o “sprawl” da IA, como já vimos acontecer com o consumo e a publicação de APIs. Alterar esse quadro é uma jornada para os próximos anos, e exige que a organização usuária conte com fornecedores e parceiros com propostas disruptivas à altura dos desafios trazidos pelo uso indiscriminado da IA.

AIoT Brasil – Como a falta de rotulagem contínua de dados compromete a segurança e a transparência no uso da IA?

Vitor Gasparini – A rotulagem dos dados é crítica porque, quando há vários setores da empresa utilizando a IA, há perguntas que são diferentes, dados que são tratados de maneira diferente. A rotulagem contínua de dados colabora no entendimento do que foi questionado, por quem. Como a GenAI é baseada em perguntas e respostas, a rotulagem é essencial no controle de dados. Fica mais fácil categorizar um processo que envolve dados não estruturados – neste contexto, é fundamental contar com soluções como o firewall de IA que, a partir da rotulagem de dados, realiza uma análise de contexto sobre o dado.

A rotulagem é uma maneira de se manter a visibilidade do que está sendo questionado. Isso ajuda o gestor a ter ideia do que foi vazado, do que não foi vazado. É comum uma organização acreditar que sofreu um vazamento de dados, mas sem recursos para aferir até onde chegou o vazamento de dados. A rotulagem dos dados promove a transparência da empresa usuária da IA Generativa, seja uma plataforma pública, seja um App privado.

AIoT Brasil – Ambientes híbridos foram apontados como fonte de vulnerabilidades. O que as empresas precisam fazer para mitigar os riscos associados à inconsistência entre nuvens?

 Vitor Gasparini – Cada nuvem é um mundo em si mesmo, com sua estrutura técnica, de billing, de gestão e de cybersecurity. A IA e o modelo multinuvem estão profundamente interligados – IA é sinônimo de HPC (High-Performance Computing), ambientes baseados em data centers hyperscale rodando, em muitos casos, uma infraestrutura baseada em GPUs (NVIDIA). A pesquisa da F5 indica que, hoje, em todo o mundo, 94% das empresas operam com quatro nuvens em média. Isso traz imensos desafios para o CISO e o CIO. É necessário aplicar as políticas de segurança de forma granular em cada um dos ambientes de nuvem, além de gerenciar de forma proativa ameaças e incidentes em cada um desses mundos paralelos. Isso reduz a produtividade dos times de TI e Cybersecurity e muitas vezes cria pontos cegos, chegando ao ponto de exigir ações manuais para aumentar a efetividade do time de técnicos. A multinuvem cria lacunas de governança, deixando fluxos de trabalho e dados expostos a vulnerabilidades.

Uma forma de reduzir os riscos é abandonar a gestão pontual das nuvens e passar a utilizar plataformas unificadas de proteção e aumento de performance das várias instâncias de cloud. Esse é o caso do F5 Distributed Cloud Services, uma oferta baseada em IA, Machine Learning e análise comportamental que atua na escala de milhões de transações por segundo. A partir de um único ponto de gestão é possível implementar as regras de segurança que preservam os negócios em todas as nuvens, com performance com controle granular do que se passa nos ambientes distribuídos. Além de aumentar a resiliência dos negócios que dependem do modelo multinuvem, essa estratégia multiplica a produtividade dos times de TI e Cyber das empresas usuárias.

AIoT Brasil – O uso de múltiplos modelos de IA, pagos e de código aberto, amplia a superfície de ataque. Como conciliar diversidade de modelos com segurança eficaz?

Vitor Gasparini – A pesquisa SOAS AI destaca que os gestores ou tomadores de decisão preferem trabalhar com mais de dois ou três modelos de inteligência artificial. Isso acontece porque todos querem acesso a mais prompts e melhores prompts. Por outro lado, esses modelos de prompt têm níveis de cybersecurity muito diferentes um do outro, aumentando a vulnerabilidade da empresa a ataques.

É nesse contexto que entra em cena uma solução que concentra a gestão e os recursos de segurança de uma organização que trabalha com vários modelos de inteligência artificial. Um exemplo desta tecnologia é o firewall de IA – na F5, o nome do produto é F5 AI Gateway. É uma ferramenta que vai ser o ponto de entrada, que vai ser o seu guard rail para qualquer um dos LLMs que a empresa utilizar.

O F5 AI Gateway faz esse balanceamento de modelos de inteligência. Isso obedece a regras de negócios e de tecnologia. Um vice-presidente usando a IA, por exemplo, será direcionado pelo AI Gateway para uma IA paga, com maiores garantias de segurança. Um profissional de nível mais operacional pode ter acesso liberado a prompts mais simples. Essa lógica é regida, também, pelo tipo de dado que está sendo buscado pelo usuário.

No firewall de IA tanto as perguntas como as respostas feitas aos vários modelos de prompt serão analisadas numa visão de contexto, evitando vazamentos de dados e promovendo a consistência da cultura digital da empresa que já vive a IA em seus processos de negócio.

AIoT Brasil – O estudo mostra que apenas 18% das empresas estão moderadamente preparadas e já usam firewalls específicos para IA. Quais seriam as barreiras para essa adoção mais ampla?

 Vitor Gasparini – A principal barreira é o desconhecimento do mercado sobre o que é um firewall de IA. A palavra “firewall” traz à mente tecnologias que hoje são comodities, voltadas para funções básicas da proteção da rede.

O firewall de IA é algo completamente diferente. Por mais que as empresas estejam planejando ou já tenham iniciado o desenvolvimento de suas plataformas próprias de IA, é impossível deixar de lado a riqueza de dados e análises geradas nas plataformas públicas de IA como, por exemplo, o ChatGPT. Consciente deste fato, a F5 criou um firewall de IA que faz a filtragem das perguntas que serão feitas ao engine de IA (público ou privado) e das respostas que serão entregues.

Essa solução analisa, a partir das regras de negócios de cada empresa, qual é o conteúdo – texto, voz ou vídeo – que é lícito ser inserido num ChatGPT durante uma pesquisa. Ou qual é o conteúdo que é privado e teria de ser bloqueado. A mesma estratégia de análise semântica é usada na resposta que a IA de um banco, por exemplo, oferecerá a correntistas ou investidores fazendo uma consulta. Nossa versão do firewall de IA é o F5 AI Gateway, uma oferta que também pode ser customizada para atuar como WAF (Web Application Firewall) e WAAP (Web Application e API firewall) e plataforma de descoberta de APIs.

A disseminação do firewall de IA no Brasil passa pelas empresas tomarem a decisão de realizar os saltos tecnológicos necessários para se tornarem ou empresas altamente preparadas ou ao menos medianamente preparadas para a IA. No caso da F5, isso pode ser feito por meio de uma oferta “as a service” de rápida implementação e num modelo OPEX, não CAPEX, o que vai ao encontro das políticas de orçamento de um número cada vez maior de empresas.

AIoT Brasil – Quais são as ações práticas mais urgentes que as empresas devem tomar hoje para avançar no índice de preparação para IA?

 Vitor Gasparini – Na minha visão, quando uma empresa usa a IA, ela não está reinventando a roda. A empresa vai continuar precisando de servidores, de firewalls, de roteadores. As transações são todas por chamadas API – 100% das chamadas de IA são chamadas API.

Acredito que o início dessa jornada passa por entender o modelo e o nível de maturidade da infraestrutura digital da organização. Se é on-premises, se é colocation, se é SaaS etc. Essa base está preparada e conta com ao menos os controles mais básicos? O gestor usa um WAF, um API Discover, conta com uma plataforma de API Security? Sem essa base sólida, pensar na IA é dar um salto sem os controles adequados.

Vale a pena, também, examinar como está a cultura de cybersecurity da organização, tanto de infraestrutura como de aplicações e APIs. Se todas essas camadas tecnológicas forem resolvidas a contento, será mais fácil trazer a IA para este contexto.

 AIoT Brasil – A pesquisa aponta que áreas como governo e educação estão entre as menos preparadas. Como a F5 enxerga o papel do setor público na transformação digital impulsionada por IA?

 Vitor Gasparini – Os governos dos principais países do mundo estão trabalhando há anos para construir linhas de financiamento e incentivo para que a cultura de IA de suas regiões evolua de forma consistente. Isso já está acontecendo no Brasil. O governo federal criou um grupo de trabalho para acompanhar e coordenar a execução do PBIA (Plano Brasileiro de Inteligência Artificial), que prevê R$ 23 bilhões em investimentos até 2028. A criação do grupo foi oficializada em maio deste ano.

Acredito ser fundamental, também, realizar mudanças nos programas de educação pública e privada de nosso país. A disrupção trazida pela IA é de tal monta que “alfabetizar em IA” estudantes de todas as gerações, disciplinas e regiões do Brasil é essencial para que avancemos de maneira consistente em direção a novos paradigmas de trabalho e produtividade.

Talvez seja recomendável, ainda, criar programas de incentivo para aumentar as parcerias público-privadas voltadas para a construção de um Brasil altamente preparado para a IA. Neste caso, empresas que se destacam como inovadoras na economia de IA podem contribuir com conhecimento e programas de formação de profissionais com os múltiplos perfis exigidos pela IA. A F5 Brasil tem sido um polo de disseminação em conhecimento sobre como proteger e aumentar a performance de aplicações de negócios e APIs que utilizam IA – neste momento, esses programas são especialmente voltados para formar profissionais do canal.

AIoT Brasil – Na sua visão técnica, como a IA pode contribuir diretamente para a segurança cibernética das empresas, e onde estão os limites atuais dessa contribuição?

Vitor Gasparini – Vivemos todo o tempo uma corrida de gato e rato. Sempre que uma ferramenta inovadora é lançada, será usada para o bem, será usada para o mal. As empresas sabem disso, e trabalham duro para elevar seu nível de cybersecurity na era das ameaças baseadas em IA. Isso inclui, por exemplo, adicionar segurança a seu ciclo de desenvolvimento de aplicações e APIs, usando plugins de IA para deixar o código mais seguro, evitando vulnerabilidades. A F5 oferece soluções que nascem com recursos IA. É possível usar um WAF com IA, um WAAP com IA.

Uma forma de entender essa eterna disputa entre o bem e o mal é pensar em como o Red Team (atacante) e o Blue Team (defensor) de uma organização usuária tenta simular dentro de casa o que ocorre na Internet e, muito especialmente, na Deep Web. A IA ajuda tanto o Red como o Blue Team a ganhar visibilidade e estratégia sobre ataques de hoje e de amanhã. Naturalmente, os criminosos digitais também se organizam deste modo, inovando sem cessar formas de usar a IA para atacar e, também, analisando como as organizações tentam se defender dessas ofensas.

Vale destacar que muitas empresas no Brasil não têm uma estratégia madura de cybersecurity – poucas contam com Red e Blue Team, por exemplo. Neste contexto, é fundamental que os gestores digitais possam contar com a consultoria e as soluções que trabalham 24×7 para antecipar ataques e criar soluções eficazes de defesa. Isso vale tanto para fornecedores como a F5 como para nosso canal, em que empresas muito qualificadas atuam como trusted advisors dos clientes nessa guerra criada pela disseminação da IA no nosso mercado.

Em relação aos limites dessa abordagem, o ponto crítico é a tecnologia que temos em mãos hoje. O desenvolvimento de sofisticadas plataformas de proteção de aplicações e APIs com uso de IA é algo que evolui sem cessar, e continuará evoluindo. Isso é essencial para fazer frente a criminosos digitais que também inovam sem cessar, trabalhando muitas vezes de forma colaborativa para desenvolver novos vetores de ataques.

AIoT Brasil – Quais setores econômicos têm apresentado maior velocidade de evolução no uso da IA e o que os diferencia em termos de estratégia e execução?

 Vitor Gasparini – No Brasil, os grandes bancos estão trabalhando fortemente na construção de uma cultura de IA mais madura. São empresas que, na prática, funcionam como Big Techs. Alguns já estão desenvolvendo suas plataformas próprias de IA, grandes Apps de negócios que irão acelerar processos de decisão e surpreender correntistas e investidores com recursos muito diferenciados. Essa decisão – criar modelos próprios de IA – não deixa de lado o uso de plataformas públicas de IA Generativa, estratégicas para trazer dados de fora da organização usuária para dentro de processos criativos ou analíticos.

Nosso segmento financeiro é muito desenvolvido tecnologicamente, e não surpreende que inovações estejam acontecendo a partir das melhores práticas. É uma abordagem que valoriza uma excelente UX e um grande compromisso com a segurança “by design”.

Ainda assim, uma parte expressiva dos players da vertical de finanças está na faixa das empresas “moderadamente preparadas para a IA”. Um bom número de empresas brasileiras de vários setores está numa camada ainda mais inicial (“com baixo nível de preparação para a IA”).

 AIoT Brasil – Na sua opinião, na eterna guerra entre empresas e crackers/hackers, quem está mais preparado no momento para tirar proveito da inteligência artificial? Os grupos criminosos ou as empresas?

 Vitor Gasparini – Essa é uma guerra diária em que inovações acontecem, em geral, primeiramente do lado dos atacantes. Uma razão para isso é que as gangues digitais constantemente compartilham (ou vendem com serviços) novas estratégias de invasão, atuando com a máxima velocidade para monetizar novos golpes antes que as defesas das organizações tenham sido constituídas.

Por outro lado, mais e mais organizações buscam ajuda de fornecedores muito inovadores para estar passos à frente dos ofensores. Tenho visto, também, o papel crítico de entidades setoriais e grupos de CISOs que, em eventos e por meio de trocas de mensagens e experiências, compartilham seus desafios e buscam por soluções reconhecidas para enfrentar os atacantes digitais.

O que está claro para todos, atacantes e defensores, é que a IA é uma arma e que usar esse modelo é cada vez mais crítico. Daí a necessidade de CISOs e CIOs conquistarem cada vez mais lugar de fala nos boards, traduzindo em valores de negócios tanto os ganhos que a cybersecurity baseada em IA traz para a empresa como os possíveis prejuízos causados por ataques também baseados em IA.

Os ataques se multiplicam sem cessar. Com a postura de cybersecurity correta e o uso de plataformas que usam de forma excelente a IA, o Machine Learning e a análise comportamental, organizações podem ampliar suas defesas e preservar processos de negócios críticos.