Como usar a IA de maneira ética para identificar ameaças internas

Faculdade de Educação Tecnológica do Estado do Rio de Janeiro

Como usar a IA de maneira ética para identificar ameaças internas

Lembra de “Minority Report”? A Inteligência Artificial pode monitorar os funcionários e identificar comportamentos que indiquem risco futuro. Mas qual será o limite para esse monitoramento?

Por: Maria Korolov

Para proteger as redes corporativas contra malware, vazamento de dados e outras ameaças, os departamentos de segurança têm sistemas para monitorar o tráfego de e-mail, as URLs e o comportamentos dos funcionários. Com Inteligência Artificial (IA) e Machine Learning, esses dados também podem ser usados ​​para fazer previsões. Um funcionário está planejando roubar dados? Vai fraudar a empresa? Vai se envolver em insider trading? Vai assediar sexualmente outro funcionário?

À medida que a IA vai melhorando em suas capacidades preditivas, as empresas precisarão tomar decisões éticas sobre como usar essa nova capacidade de monitorar os funcionários, especialmente em relação a quais comportamentos devem ser observados e quais intervenções são apropriadas.

Equipes de segurança da informação estarão na linha de frente
De fato, alguns tipos de previsões sobre os comportamentos dos funcionários já são possíveis. “A realidade é que é fácil determinar se alguém vai deixar o emprego antes de que essa pessoa comunique formalmente a sua decisão”, diz um dos principais profissionais de segurança de informações de uma empresa Fortune 500 que não quis se identificar. “Comecei a fazer isso há dez anos e, na verdade, é altamente confiável.”

Por exemplo, um funcionário prestes a deixar a empresa enviará mais e-mails com anexos para o seu endereço pessoal do que o habitual, diz ele. Isso é importante para as equipes de segurança ficarem de olho, já que os funcionários que estão saindo podem querer levar informações confidenciais com eles quando forem, e tentarão fazer o download de tudo mais cedo, antes de informar seus gerentes sobre seus planos.

Essa é uma preocupação de segurança válida e os funcionários são notificados com antecedência de que a empresa monitora seus emails de trabalho. “Na maioria das vezes, se sabemos que a pessoa está saindo, a colocamos em uma lista de usuários de alto risco, que possuem controles adicionais”, diz ele.

No entanto, eles não comunicam a suspeita de que o funcionário está planejando deixar a companhia ao gerente direto. “Nunca fizemos isso e não vejo uma situação em que faríamos isso”, diz ele. “E nós tivemos dezenas dessas situações.”

Se o empregado é pego roubando informações, então essa é uma história diferente. “Vamos alertar o gerente e conversamos com o funcionário sobre isso”, diz ele.

Quando é apropriado ler o email dos funcionários?
A maioria das empresas notifica seus funcionários de que eles monitoram suas comunicações por e-mail e o uso da Internet. Poucas empresas observam atentamente as comunicações pessoais dos funcionários. “Tomamos a decisão de não ler o conteúdo do e-mail de alguém”, diz Laura Norén, diretora de pesquisa da Obsidian Security, que ajuda as empresas a usarem Inteligência Artificial e Machine Learning para detectar ameaças cibernéticas.

Por exemplo, as empresas podem dizer se alguém está procurando outros empregos em suas atividades do dia-a-dia, diz Norén, mas nem sempre é perfeito, já que o funcionário pode não conseguir esse outro emprego ou recusar a oferta.

Os cientistas de dados têm, mais do que nunca, uma compreensão completa de um indivíduo. “Se alguém está preocupado que pode ter câncer, eles provavelmente estão digitando essas coisas no campo de pesquisa, e você pode saber sobre isso antes mesmo de confirmar o diagnóstico”, diz ela.

“Há empresas que querem prever muito mais. Os empregados estão usando drogas, contratando profissionais do sexo, tendo casos no escritório?” Norén acrescenta. “Nós não chegamos a ir tão longe, mas sabemos que outras empresas estão fazendo isso.”

Um risco potencial de monitorar muito de perto o comportamento dos funcionários é que isso prejudica o moral da equipe. “Os funcionários dão seu consentimento, seja explícita ou implicitamente, para serem vigiados”, diz Norén. “Então, é legal. Não é um problema; eles assinaram esse direito. Mas ninguém nunca lê esses documentos, e nós tendemos a continuar lembrando aos funcionários que estamos assistindo.”

Em alguns campos, como serviços financeiros, os funcionários recebem lembretes regulares de que suas comunicações são monitoradas.

Não é apenas o e-mail e o histórico de navegação que são potenciais geradores de dados para os sistemas de Inteligência Artificial. “É um salto curto aplicar as mesmas ferramentas analíticas e de IA sobre dados dos funcionários coletados de várias outras fontes”, diz Thomas Weithman, diretor-gerente do CIT GAP Funds. Essas fontes podem incluir, por exemplo, interações com outros funcionários e parceiros captadas por câmeras de segurança e sistemas de controle de acesso de edifícios, diz ele.

Quando agir a respeito das previsões?
Uma vez que uma empresa tenha coletado e analisado dados, e tenha uma previsão sobre algum comportamento potencialmente prejudicial, ela tem várias opções, desde ignorar a previsão até demitir o funcionário. Em alguns casos, há uma linha legal que as empresas não devem cruzar, diz Norén, da Obsidian. “Algo como a gravidez é um status protegido”, diz ela. “Seria uma má ideia despedir alguém que esteja procurando por empresas de fertilidade”.

Em outros casos, é mais uma área cinza. Digamos, por exemplo, que um funcionário esteja planejando vazar dados confidenciais ou configurar um equipamento de criptografia não aprovado nos servidores da empresa. Isso poderia ser de interesse da equipe de segurança.

Uma maneira de analisar possíveis intervenções é se elas podem causar danos, sugere Norén.

Uma abordagem para lidar com comportamentos potencialmente prejudiciais é verificar se é um sintoma de um problema maior. “Se eles estão planejando configurar uma operação de criptomoeda nos servidores da empresa, talvez não sejam os únicos a pensar em fazê-lo”, diz Norén.

Nesse caso, uma empresa pode considerar uma resposta mais ampla. “Talvez devêssemos estabelecer limites de tarifas para toda a empresa”, diz Norén.

Da mesma forma, se um funcionário está prestes a deixar a empresa, pode haver outras pessoas que também estejam prestes a sair, mas são mais sutis quanto a isso. “Você pode querer tomar medidas úteis para esse funcionário e funcionários semelhantes”, diz Norén. “Isso pode ser uma intervenção positiva, e não uma punição direta.”

Algumas decisões serão extremamente difíceis. “Podemos prever assédio sexual, provavelmente com um grau razoável de precisão”, diz Norén. “Na era” MeToo “, isso certamente afetaria as empresas e é um domínio eticamente sensível”.

Entrar e punir o pretenso assediador pode ser prejudicial para a empresa. “Em vez disso, nós tentaríamos trabalhar com cientistas sociais que são experientes nesses tipos de relacionamentos não consensuais para chegar a uma intervenção que não puna alguém por algo que ainda não fez, mas remova alguns dos fatores necessários para que o assédio sexual ocorra “, diz Norén. “Você pode ter menos eventos onde há bebida, por exemplo.”

Esta é uma questão que é muito importante para o Departamento de Recursos Humanos do Condado de Los Angeles, que tem hoje 111 mil funcionários e está atualizando políticas e procedimentos em torno de relacionamentos interpessoais para proteger os funcionários de danos.

“O condado de Los Angeles foi reconhecido como um pioneiro, não apenas no governo, mas no setor privado, quando se trata de questões de equidade”, diz Murtaza Masood, diretor do departamento. Ele foi anteriormente o CIO do departamento e está liderando muitas das iniciativas de Transformação Digital, incluindo o uso de IA para investigações de RH.

“Agora queremos implantar a automação de processos e IA e obter insights sobre padrões de comportamento e problemas”, diz Masood. “Mas o objetivo não é o rastreamento individualizado e a elaboração de um perfil – é aí que ele cruza uma linha ética e uma linha legal.” A tecnologia ainda não existe para prever o comportamento individual, acrescenta.

Em vez disso, o objetivo é procurar fatores que contribuam para certos padrões de comportamento, procurar por grupos de comportamentos e criar políticas de treinamento e intervenções que melhorem os bons comportamentos e minimizem os maus, diz Masood.

O município está usando a tecnologia da OpenText para rastrear o que as pessoas estão fazendo em seus desktops e e-mails. “Então, podemos ver onde as tendências estão se formando à medida que elas se formam”, diz Masood. “É sobre ser proativo e responder antes do fato, não depois.”

Mas há certas situações em que a intervenção imediata e individual é justificada, e isso é na área da segurança cibernética. Se um funcionário está agindo de forma a indicar um problema de segurança em potencial, então uma conversa com esse funcionário ou seu gerente pode ser apropriada, diz Masood. “Existe uma razão comercial que os leva a fazer isso, ou há alguma coisa desagradável acontecendo?”

Por exemplo, se um funcionário estiver usando o computador de outra pessoa, fazendo login a partir de locais incomuns e tentando exportar grandes quantidades de dados, ele poderá estar agindo corretamente, diz ele, ou essas atividades podem ser um indicador de problemas. “Mas há uma diferença entre isso e o uso de IA e Machine Learning por razões determinísticas”, diz Masood. “Nós não estamos lá ainda. Talvez na minha vida eu veja as máquinas poderem determinar uma intenção, mas elas ainda não atravessaram essa ponte.”

O ponto de partida adequado é uma suposição de neutralidade, diz Masood. “Essa é a diferença fundamental ao traçar um paralelo com ‘Minority Report’, onde você é juiz e júri.”

Quando é apropriado ler o email dos funcionários?
A maioria das empresas notifica seus funcionários de que eles monitoram suas comunicações por e-mail e o uso da Internet. Poucas empresas observam atentamente as comunicações pessoais dos funcionários. “Tomamos a decisão de não ler o conteúdo do e-mail de alguém”, diz Laura Norén, diretora de pesquisa da Obsidian Security, que ajuda as empresas a usar inteligência artificial e aprendizado de máquina para detectar ameaças cibernéticas.

Por exemplo, as empresas podem dizer se alguém está procurando outros empregos em suas atividades do dia-a-dia, diz Norén, mas nem sempre é perfeito, já que o funcionário pode não conseguir esse outro emprego ou recusar a oferta de emprego.

Os cientistas de dados têm uma compreensão mais completa de um indivíduo do que nunca, diz Norén. “Se alguém está preocupado que eles podem ter câncer, eles provavelmente estão digitando essas coisas no campo de pesquisa, e você pode saber sobre isso antes mesmo de confirmar o diagnóstico”, diz ela.

“Há empresas que querem prever muito mais. Os empregados estão usando drogas, contratando profissionais do sexo, tendo casos no escritório?” Norén acrescenta. “Nós não vamos lá, mas sabemos que outras empresas estão fazendo isso.”

Um risco potencial de monitorar muito de perto o comportamento dos funcionários é que isso prejudica a moral da equipe. “Os funcionários dão seu consentimento, seja explícita ou implicitamente, para serem vigiados”, diz Norén. “Então, é legal. Não é um problema; eles assinaram esse direito. Mas ninguém nunca lê esses documentos, e nós tendemos a continuar lembrando aos funcionários que estamos assistindo.”

Em alguns campos, como serviços financeiros, os funcionários recebem lembretes regulares de que suas comunicações são monitoradas. “Gostaríamos de reinserir isso na maioria dos locais de trabalho”, diz Norén.

Não é apenas o e-mail e o histórico de navegação que são potenciais para sistemas de inteligência artificial. “É um salto curto aplicar as mesmas ferramentas analíticas e de inteligência a dados mais simples reunidos sobre funcionários de várias outras fontes”, diz Thomas Weithman, diretor-gerente do CIT GAP Funds, uma família de fundos de investimento concentrados em tecnologia de estágio inicial. iniciantes. Essas incluem interações relatadas com outros funcionários para informações extraídas de câmeras de segurança e sistemas de controle de acesso de edifícios, diz ele.

Quando você age em previsões?
Uma vez que uma empresa tenha coletado e analisado dados, e tenha uma previsão sobre algum comportamento potencialmente prejudicial, ele tem várias etapas que pode tomar, desde ignorar a previsão até demitir o funcionário. Em alguns casos, há uma linha legal que as empresas não devem cruzar, diz Norén, da Obsidian. “Algo como a gravidez é um status protegido”, diz ela. “Seria uma má ideia despedir alguém se eles estiverem procurando por empresas de fertilidade”.

Em outros casos, é mais uma área cinza. Digamos, por exemplo, que um funcionário esteja planejando exfiltrar dados confidenciais ou configurar um equipamento de criptografia não aprovado nos servidores da empresa. Isso poderia ser de interesse para a equipe de segurança.

Uma maneira de analisar possíveis intervenções é se elas podem causar danos, sugere Norén. “Se você demiti-los, ou faz com que eles sejam estigmatizados de alguma forma. Por exemplo, conversar com o gerente pode ser estigmatizante.”

Uma abordagem para lidar com comportamentos potencialmente prejudiciais é verificar se é um sintoma de um problema maior. “Se eles estão planejando configurar uma operação de criptomoeda nos servidores da empresa, talvez eles não sejam os únicos a pensar em fazê-lo”, diz Norén.

Nesse caso, uma empresa pode considerar uma resposta mais ampla. “Talvez devêssemos estabelecer limites de tarifas para toda a empresa, por isso não isola o empregado de forma alguma, e não é punido por algo que não fez”, diz Norén.

Da mesma forma, se um funcionário está prestes a deixar uma empresa, pode haver outras pessoas que também estão prestes a sair, mas são mais sutis quanto a isso. “Você pode querer tomar medidas úteis para esse funcionário e funcionários semelhantes”, diz Norén. “Isso pode ser uma intervenção positiva, então eles não estão sendo punidos.”

Algumas decisões serão extremamente difíceis. “Podemos prever assédio sexual, provavelmente com um grau razoável de precisão”, diz Norén. “Na era” MeToo “, isso certamente afetaria as empresas e é um domínio eticamente carregado”.

Entrar e punir o pretenso assediador, ou reatribuir os funcionários visados, pode ser prejudicial para a empresa. “Nós tentaríamos trabalhar com cientistas sociais que são experientes nesses tipos de relacionamentos não consensuais para chegar a uma intervenção que não pune alguém por algo que ele não fez, mas remove alguns dos outros fatores que precisam estar em vigor para que o assédio sexual ocorra “, diz Norén. “Você pode ter menos eventos onde há bebida, por exemplo.”

Esta é uma questão que é muito importante para o Departamento de Recursos Humanos do Condado de Los Angeles. O condado de Los Angeles tem 111.000 funcionários e atualmente está atualizando políticas e procedimentos em torno de relacionamentos interpessoais para proteger os funcionários de danos.

“O condado de Los Angeles foi reconhecido como um pioneiro, não apenas no governo, mas no setor privado, quando se trata de questões de equidade”, diz Murtaza Masood, diretor do departamento. Ele foi anteriormente o CIO do departamento e está liderando muitas das iniciativas de transformação digital do condado, incluindo o uso de AI para investigações de RH.

“Agora queremos implantar a automação de processos e IA e obter insights sobre padrões de comportamento e problemas”, diz Masood. “Mas o objetivo não é o rastreamento individualizado e o perfil – é aí que ele cruza uma linha ética e uma linha legal.” A tecnologia ainda não existe para prever o comportamento individual, acrescenta.

Em vez disso, o objetivo é procurar fatores que contribuam para certos padrões de comportamento, procurar por grupos de comportamentos e criar políticas de treinamento e intervenções que melhorem os bons comportamentos e minimizem os maus, diz Masood.

O município está usando a tecnologia da OpenText para rastrear o que as pessoas estão fazendo em seus desktops e e-mails. “Então, podemos ver onde as tendências estão se formando à medida que elas se formam”, diz Masood. “É sobre ser proativo e responder antes do fato, não depois do fato.”

Mas há certas situações em que a intervenção imediata e individual é justificada, e isso é na área da segurança cibernética. Se um funcionário está agindo de forma a indicar um problema de segurança em potencial, então uma conversa com esse funcionário ou seu gerente pode ser apropriada, diz Masood. “Existe uma razão comercial que os leva a fazer isso, ou há alguma coisa desagradável acontecendo?”

Por exemplo, se um funcionário estiver usando o computador de outra pessoa, fazendo login a partir de locais incomuns e tentando exportar grandes quantidades de dados, ele poderá ser benigno, diz ele, ou pode ser um indicador. “Mas há uma diferença entre isso e o uso de IA e aprendizado de máquina por razões determinísticas”, diz Masood. “Nós não estamos lá ainda. Talvez na minha vida eu veja, mas para as máquinas poderem determinar a intenção, aquela ponte ainda não foi atravessada.”

O ponto de partida adequado é uma suposição de neutralidade, diz Masood. “Essa é a diferença fundamental com o ‘Minority Report’, onde você é juiz e júri.”

A chave é aplicar as regras de forma consistente, diz. “Se um empregador for agir com base em algo que ele aprende com a IA (por exemplo, o sistema sinaliza uma postagem online inapropriada), ele deve decidir em que ponto tomará providências e, em seguida, certificar-se de que faça o mesmo em todos os casos futuros “.

A ação também tem que ser apropriada. Por exemplo, se alguém diz ao RH que um colega está usando mal o período de licença médica para sair de férias, a resposta apropriada seria investigar, mesmo que ainda não haja nenhuma evidência real de irregularidade. A ação disciplinar seguiria após a investigação, no caso de confirmação da conduta inapropriada.

“A situação não seria diferente se um empregador soubesse sobre possíveis infrações através de um sistema de IA”, diz Tuite. “É tudo sobre risco e consistência no tratamento”.

Se a previsão apontada pela Inteligência Artificial for precisa e a empresa não agir para proteger os funcionários, isso poderia levar à responsabilidade legal, acrescenta Tuite. “A empresa poderia ser exposta a uma acusação de negligência se soubesse que um funcionário iria assediar sexualmente ou agir de forma inadequada em relação a colegas de trabalho”, diz Masood. “Embora essas alegações sejam tipicamente intensivas em termos de fatos e difíceis de provar, os empregadores já enfrentam esse problema até certo ponto quando se trata de monitorar o uso de mídias sociais dos funcionários”.

As empresas devem ter o cuidado de usar a Inteligência Artificial para monitorar funcionários em busca de má conduta em potencial, diz Tuite, até que haja maior clareza sobre as regras legais que regem o uso da IA ​​no local de trabalho – e que os sistemas de IA são confiáveis. “Caso contrário, a empresa pode ser responsabilizada por confiar em um sistema que pode impactar de forma desigual um grupo de pessoas”, diz Tuite. 

Fonte: CIO

Texto Original: 
http://cio.com.br/gestao/2018/08/22/como-usar-a-ia-de-maneira-etica-para-identificar-ameacas-internas