Tecnicamente, os algoritmos que tratam de maneira inteligente a informação, utilizam grandes bases de dados, geram novas informações, fazem previsões e melhoram informações existentes, já existem há vários anos, sempre limitados à potência e custo da tecnologia da sua época. Atualmente, denominada comercialmente de Inteligência Artificial, precisamos refletir sobre o uso adequado, consciente e inteligente desta nova tecnologia.
Simplifico afirmando que Inteligência Artificial é uma nova plataforma de tecnologia ou um aprimoramento de todas as tecnologias existentes até o momento. A Inteligência Artificial permite novas funções, novos tipos de tratamento da informação que, em algumas situações, podemos considerar que possibilita atividades que estavam “fora da realidade” até o momento. Sem sombra de dúvidas, o potencial de novas formas de tratamento da informação é praticamente infinito onde o limite não conseguimos definir.
Se analisarmos friamente, sem emoção, é fácil identificar que existe bastante “espuma” e barulho pelo assunto, onde muitas opiniões possuem um viés de interesse comercial, político ou de aparentar duvidosos especialistas. Como exemplo prático, a situação do surgimento DeepSeek, ferramenta de uma jovem empresa chinesa. Na prática mais uma ferramenta para concorrência no conjunto de ferramentas de IA. Por ser uma empresa chinesa e aparentemente com performances e cistos mais interessantes para o mercado consumidor, impactou em um dia, grandes empresas de soluções IA, que perderem milhões de US$ ou Euros em um único dia.
Entendo que uma das vantagens deste terremoto em função de uma nova concorrente, é o fato de que muitos riscos e possíveis vulnerabilidades consideradas para a DeepSeek, devem também ser consideradas em todas as demais ferramentas. O uso da versão pública de qualquer ferramenta de IA se utilizada corporativamente, expõe dados confidenciais da organização. E isto aconteceu no início da ChatGPT.
Sendo assim, devemos sempre refletir o uso corporativo de ferramentas e soluções de Inteligência Artificial. Os gestores de tecnologia e gestores de segurança da informação são questionados e pressionados para que a organização utilize IA. “Afinal os nossos concorrentes estão usando e falam na mídia que tem ganhos incríveis!” dizem alguns executivos que acreditam na mídia tendenciosa.
O uso da IA no ambiente corporativo deve acontecer para resolver algum problema, minimizar um risco com impacto negativo ou explorar uma oportunidade que antes com a tecnologia disponível não seria possível.
Mas, se a organização é responsável, e o Gestor da Segurança da Informação efetivo nas suas funções e possui autoridade na proteção da informação, destaco 10 macrocontroles que devem ser considerados e implementados para o ambiente de Inteligência Artificial. “Mas Edison, é muita coisa! Assim fica difícil!” perguntaram. Responderei: “É muita coisa. São os macrocontroles obrigatórios e que podem dar a confiança para que a organização implemente de maneira a atender os objetivos corporativos e em conformidade com legislação e boas práticas!” São eles, no mínimo:
- Ambiente Público de IA e Ambiente Corporativo de IA.
- Segurança da Informação
- Proteção Privacidade
- Conformidade Legal
- Responsabilização
- Sustentabilidade da Solução e da Organização.
- Alinhamento com a Governança Corporativa
- Sistemas Seguros
- Registro de Operações
- Gerenciamento de riscos
- Guarda de informações
- Classificação de informações
- Desenvolvimento seguro
- Teste de Sistema
- Gestão de Incidentes
- Vazamento de Dados
CONCLUSÃO
Cada um destes macrocontroles merece um estudo profundo e artigos específicos. E possibilita uma boa conversa entre profissionais. Mas a plataforma de soluções e serviços de IA precisa estar protegida e gerar confiança para os acionistas e para o mercado, possibilitando que a organização atue com qualidade.
Vamos conversar sobre este assunto?
Edison Fontes, CISM, CISA, CRISC, Ms., Chief Information Security Officer @NAVA – Technology for business.
