A rápida adoção da inteligência artificial nas empresas está criando um novo desafio para equipes de segurança: controlar o avanço da tecnologia antes que ela se torne uma porta de entrada para novos ataques cibernéticos. O novo AI Security Maturity Model (AISMM), divulgado pelo SANS Institute, surge com a proposta de orientar organizações a criar programas estruturados de segurança para ambientes baseados em IA.
O documento apresenta um modelo de maturidade dividido em cinco estágios, que vão desde ambientes sem qualquer governança de IA até operações totalmente adaptativas e orientadas por inteligência artificial. A estrutura é sustentada por três pilares principais: proteção dos sistemas de IA, uso da IA para reforço de segurança e governança de riscos e conformidade.
Segundo o relatório, muitas empresas ainda operam em um estágio inicial denominado “Unaware/Ad Hoc”, caracterizado pelo uso descontrolado de ferramentas como ChatGPT, Copilot e outros sistemas de IA sem supervisão, inventário ou políticas definidas. Esse cenário aumenta significativamente os riscos de vazamento de dados sensíveis, exposição regulatória e crescimento do chamado BYOAI (“Bring Your Own AI”), quando funcionários usam ferramentas pessoais de IA no ambiente corporativo.
Outro ponto de destaque é o crescimento do “Shadow AI”, termo usado para descrever tecnologias de IA utilizadas fora das políticas internas das empresas. O SANS alerta que políticas puramente restritivas — baseadas apenas em bloqueio — podem ter efeito contrário, empurrando o uso de IA para ambientes invisíveis aos departamentos de segurança.
O estudo também projeta uma mudança importante na forma como organizações precisarão proteger agentes autônomos de IA. Entre as medidas sugeridas estão:
- criação de identidades exclusivas para agentes de IA (Non-Human Identities — NHI);
- controles de menor privilégio;
- monitoramento contínuo;
- defesa contra prompt injection;
- programas dedicados de AI Red Team;
- integração de MLSecOps em pipelines de desenvolvimento.
Um dos alertas mais fortes do documento destaca o fator humano como principal vulnerabilidade:
“Uma força de trabalho não treinada utilizando ferramentas poderosas de IA é uma emergência de governança.”
Especialistas apontam que a governança poderá se tornar tão importante quanto a proteção técnica dos modelos. O documento sugere que organizações com alta adoção de IA, mas baixa maturidade dos colaboradores, acelerem imediatamente seus processos de governança para o nível 3 do framework.
O modelo foi desenvolvido com alinhamento a estruturas internacionais como NIST AI RMF, ISO 42001, OWASP AI Exchange e regulamentações do EU AI Act, buscando transformar diretrizes conceituais em ações práticas para equipes de segurança.
