Dados Confidenciais

À medida que nos aproximamos do final de 2025, dois fatos sobre a inteligência artificial (IA) são cruciais para os diretores de segurança da informação (CISOs). Primeiro, a maioria dos funcionários já utiliza ferramentas de IA generativa em suas atividades, mesmo que a empresa não forneça acesso ou proíba seu uso. Segundo, muitos desses funcionários já compartilharam informações internas e confidenciais com essas ferramentas. Um estudo da Microsoft revela que 75% dos trabalhadores do conhecimento estavam usando IA generativa em 2024, e 78% deles utilizavam ferramentas pessoais. Isso gera um aumento no ‘Access-Trust Gap’, que é a diferença entre aplicativos de negócios confiáveis e aqueles não gerenciados que acessam dados corporativos. Para mitigar riscos, as empresas precisam desenvolver um plano de habilitação de IA que inclua governança e controle de acesso. O artigo propõe seis perguntas essenciais para guiar essa elaboração, como quais casos de uso de IA são prioritários e quais ferramentas devem ser adotadas. A falta de governança pode resultar em violações de políticas e consequências legais. Portanto, é fundamental que as empresas adotem uma abordagem proativa e contínua para a governança da IA, garantindo que os funcionários utilizem aplicativos confiáveis e monitorados.

Uma investigação de segurança revelou vulnerabilidades críticas em quatro sites internos da Intel, permitindo acesso não autorizado a informações detalhadas de mais de 270 mil funcionários globalmente. O pesquisador de segurança Eaton identificou técnicas de bypass de autenticação e credenciais hardcoded que possibilitaram acesso extensivo aos sistemas internos da Intel entre outubro de 2024 e fevereiro de 2025. As falhas de autenticação afetaram sistemas como o de pedidos de cartões de visita e o de gerenciamento de fornecedores, permitindo que atacantes manipulassem funções JavaScript para contornar proteções do Microsoft Azure Active Directory. O ataque mais significativo ocorreu no site de pedidos de cartões de visita da Intel na Índia, onde um endpoint de API não autenticado forneceu tokens de acesso sem verificação adequada, resultando na extração de um arquivo JSON de quase 1 GB com dados de funcionários, incluindo nomes, cargos e contatos. A resposta da Intel às divulgações de vulnerabilidades revelou desafios significativos em seu processo de segurança, com a empresa apenas reconhecendo automaticamente os relatórios enviados. Embora a Intel tenha expandido seu programa de recompensas por bugs, as questões de segurança em sites ainda não estão totalmente cobertas. Este incidente destaca a necessidade de revisões abrangentes de segurança em aplicações web internas, especialmente em grandes corporações de tecnologia.