A visão do CISO sobre risco, tecnologia e responsabilidade quando o assunto é IA na Organização

A Inteligência Artificial já está incorporada ao dia a dia das organizações e influencia decisões operacionais, financeiras, jurídicas e estratégicas. O ponto crítico é que, na maioria das empresas, tudo está acontecendo muito rápido, sem governança.

Falando na posição do CISO, é muito claro que a IA é uma grande oportunidade de alavancagem do negócio (para a segurança também), ao mesmo tempo traz uma lista de riscos os quais as empresas precisam conhecer e gerenciar.

Toda IA processa dados, aprende padrões e gera respostas que impactam pessoas e negócios. Portanto, deve ser tratada minimamente como um ativo tecnológico crítico.

Governar IA é, antes de tudo, garantir que a empresa sabe o que está sendo usado, por quem, para qual finalidade e com quais dados. Sem essa visibilidade mínima, não existe segurança.

O primeiro passo recomendado é a criação de um inventário corporativo de soluções de IA, classificadas por nível de risco, tipo de dado processado e criticidade para o negócio. Esse simples movimento já reduz significativamente o risco invisível. O conhecido Assessment e Risk Management.

É um ponto essencial reconhecer que toda IA deve passar por um processo formal de Security Risk Assessment. Ferramentas de IA, sejam internas ou de terceiros, precisam ser avaliadas sob a ótica de segurança da informação, privacidade, continuidade, dependência tecnológica e impacto operacional. O uso de IA sem avaliação prévia equivale, em termos de risco, a colocar um sistema crítico em produção sem testes ou controles mínimos.

Políticas claras de uso de IA são indispensáveis, as organizações precisam definir quais IAs são permitidas, quais tipos de dados não podem ser utilizados, quais decisões não podem ser automatizadas e quais são as responsabilidades dos usuários. Sem diretrizes claras, o risco se desloca rapidamente para o comportamento humano, que hoje também é o principal fator de exposição em ambientes com IA.

Algo que está intimamente ligado à essa questão é o princípio do Human-in-the-Loop, afinal, decisões críticas não deveriam ser totalmente automatizadas,deve haver supervisão humana, responsabilidades, possibilidades de revisão e mitigação de vieses ou erros. Alinhar a governança à frameworks reconhecidos, como o NIST AI Risk Management Framework e normas ISO, também fortalece a postura de segurança, a conformidade regulatória e a confiança do mercado.

Descrevo abaixo algumas das diretrizes vitais para a sua Política de Gvernança de IA.

• Objetivo e Escopo da Política de Governança de Inteligência Artificial

• Princípios de Governança e Uso Responsável da Inteligência Artificial

• Classificação e Níveis de Risco das Soluções de Inteligência Artificial

• Diretrizes para Uso, Proteção e Tratamento de Dados em Inteligência Artificial

• Processo de Aprovação, Avaliação de Riscos e Security Risk Assessment de IA

• Papéis, Responsabilidades e Prestação de Contas na Governança de IA

• Supervisão Humana e Limites de Automação em Sistemas de Inteligência Artificial (Human-in-the-Loop)

• Diretrizes de Uso Aceitável e Usos Proibidos de Inteligência Artificial

• Monitoramento, Auditoria e Revisão Contínua dos Sistemas de IA

• Gestão de Incidentes, Não Conformidades e Medidas Disciplinares Relacionadas à IA

Por fim, digo que IA sem governança é um riscos estratégico. Empresas que tratam IA como Shadow IT inevitavelmente enfrentarão incidentes, perdas financeiras e danos reputacionais. As que investem em governança, segurança e gestão de riscos com seriedade estarão melhor posicionadas para inovar de forma sustentável, segura e confiável por todos.

#mycents,

Karina Queiroz

vCyber Executive Director | Cybersecurity & Digital Risk Advisory