Rogério Coutinho
29 de out. de 2025
Uso da IA em ambiente corporativo!
Olá pessoal!
Será que a sua empresa realmente sabe onde a IA está sendo usada hoje?
E mais importante: como garantir conformidade e segurança em algo que você não sabe que existe ou desconhece como está sendo utilizado?
Tenho a impressão de que a maioria não tem essa resposta com segurança.
Vou abordar hoje esse tema e fazer umas reflexões!
#_Cenário_Nas_Empresas
Não é novidade o quanto a IA Generativa (Ex: ChatGPT, Gemini, Claude, etc ) popularizou o uso de inteligência artificial na sociedade!
As pesquisas apontam que o uso dentro das empresas vem crescendo exponencialmente. Seja o simples uso de um ChatGPT para apoio em atividades simples do dia a dia, como revisão de email ou em casos de usos mais complexos usando agentes, inclusive com um grau de autonomia cada dia maior.
Um fator importante de os gestores acompanharem é o surgimento de recursos que permitem qualquer área de negócio criar seus próprios assistentes e agentes de IA sem apoio formal da TI.
Isso tem um efeito muito positivo pois acelera a adoção e retorno de produtividade para o negócio.
Entretanto traz diversos desafios. Um deles é a Shadow AI, que é o uso de IA sem conhecimento, aprovação ou monitoramento da empresa. É IA sem inventário, sem análise de risco, sem treinamento adequado e sem governança.
Usando uma frase simples para avançar na reflexão: Se você não conhece, você não governa!
#_Impacto
Se a empresa não sabe onde a IA está sendo usada nos processos de negócio, ela não consegue aplicar governança, segurança ou conformidade.
Algumas perguntas para os Gestores de TI, DPOs, Segurança da Informação e Compliance:
- Quais processos de negócio estão usando IA (desde o uso simples do ChatGPT até agentes com funções mais complexas)?
- Quais aplicações de IA utilizam quais fornecedores?
- Quais sistemas de IA estão acessando fontes de dados internos (CRM, SharePoint, Teams, ERP, planilhas Excel, etc.)?
- Quais processos tiveram o inventário, o data mapping e o RoPA atualizados após a entrada da IA no fluxo de trabalho?
- Quais dados estão sendo tratados durante o uso da IA? Dados confidenciais? Dados pessoais? Dados pessoais sensíveis?
- Quais aplicações de IA utilizam provedores fora do Brasil, configurando transferência internacional de dados com impactos diretos na LGPD?
- Como sua empresa está monitorando os dados inseridos nas soluções de IA?
- Sua empresa avaliou os riscos de segurança da informação e privacidade nos casos de uso de IA?
- Existem controles de acesso e registro de auditoria (logs) das interações com IA?
- Sua empresa possui uma política de uso aceitável de IA comunicada e implementada?
Vou me concentrar apenas nos casos e cenários mais simples. Observe que não abordei os casos de uso onde a empresa está desenvolvendo ou ajustando seus próprios LLMs/SLMs, o que nos levaria a dezenas de outras questões específicas sobre governança de modelos, qualidade de dados de treinamento e vieses algorítmicos.
#_Por_Onde_Começar
É importante destacar que o inventário de IA não deve ser uma iniciativa isolada. Ele precisa estar integrado aos processos já existentes de inventário de ativos de TI , aos registros de atividades de tratamento exigidos pela LGPD (RoPA) e aos controles de segurança cibernética. Essa integração evita retrabalho, reduz custos e garante uma visão ampla dos riscos.
Como comentei acima, sua empresa não governa o que ela não conhece. Tudo começa por saber o que se tem na empresa. Se eu não sei nem que existe, é muito difícil afirmar que estou protegendo ou assegurar que está em conformidade.
O inventário das aplicações de IA ou sistemas que usam IA é o alicerce para a Governança.
Nesse contexto, passamos a uma nova reflexão: a integração das iniciativas de governança de Privacidade, Segurança Cibernética, IA e TI.
#_Integração_Das_Iniciativas
Em quase 30 anos atuando em Segurança da Informação, observo que a fragmentação das iniciativas de governança é um dos maiores desafios nas empresas. Cada área cria seus próprios inventários, processos e controles, gerando silos de informação, retrabalho significativo e, principalmente, dificuldade de visão centralizada.
No processo de adequação com a LGPD esse processo se intensificou bastante no mercado. Infinitos casos de Programas de Privacidade com integração baixíssima com a TI e com a Segurança da Informação.
Inventários e data mapping voltados para LGPD sem integração com os processos de inventário da TI e SI.
Com a IA, essa necessidade de integração torna-se crítica: um único assistente de IA pode impactar simultaneamente a privacidade (ex:tratamento de dados pessoais), a segurança (ex:exposição de credenciais), a TI (ex:integração com sistemas legados) e a continuidade de negócios (ex:dependência de fornecedores externos).
#_Insights
Para facilitar essa visão macro, construímos um portal com objetivo de facilitar o entendimento macro da associação da Governança desses diversos pilares com o inventário, com o Data mapping e com o RoPA ( item obrigatório pela LGPD ).
Convidamos os colegas aqui do Grupo do #_IA_Tentando_Acompanhar para acessar o portal https://inventario.simpleway.tech onde fizemos uma síntese com pontos que envolvem cada pilar de governança e onde entra cada componente.
O objetivo é facilitar para as empresas a identificação da importância de sinergia entre esses pilares de IA, Privacidade, Segurança Cibernética e TI.
#_Créditos
Os méritos desse portal são da Jéssica Camargo ( Marketing da SimpleWay )!!
#__Pontos_De_Atenção
Exemplos práticos para atenção:
- Um colaborador usando o ChatGPT ou outro agente generativo diretamente com dados pessoais de clientes ou colaboradores, sem controle.
- Uma integração automática entre IA, CRM que gera orçamento, mas que não foi documentada nem inventariada.
- Um assistente de IA que acessa planilhas compartilhadas com dados pessoais para gerar um relatório, sem controle de acesso adequado.
#_Impacto_em_Privacidade
Sem inventário adequado, é impossível identificar onde dados pessoais entram em fluxos de IA e portanto impossível garantir conformidade com a LGPD.
#_Impacto_em_Segurança_Cibernética
Ativos de IA não inventariados são vetores de risco pois podem levar a vazamento de dados, exposição de APIs, credenciais de acesso, etc.
#_Impacto_em_governança_de_TI
Inventário de IA é um pilar que conecta a TI, segurança, jurídico, compliance e operações. Ele permite visibilidade sobre quem usa IA, para quê, com que dados, quais fornecedores estão envolvidos, qual o risco. Sem inventário, governança é apenas uma intenção, não uma prática.
#_Impacto_Gestão_Continuidade_Negócios
Sistemas de IA que se tornam críticos para processo de negócio precisam ser considerados no Plano de Continuidade da empresa. Questões como: qual o RTO e RPO aceitáveis? Existe fornecedor alternativo? O que acontece se o serviço de IA ficar indisponível? Há dependência de conectividade externa? Essas perguntas precisam de respostas documentadas e testadas.
#_Na_Prática
Para se aprofundar um pouco mais no tema, recomendo visitar o portal https://inventario.simpleway.tech*
Espero que este post desperte reflexão e, principalmente, ação imediata. A governança de IA não é mais opcional, mas uma necessidade regulatória e operacional. E lembre-se: sem inventário, não há governança possível. Você só pode proteger, auditar e demonstrar conformidade daquilo que conhece.
Abraços
Sobre o autor:
Rogério Coutinho da Silva
rogerio.coutinho.silva@gmail.com
https://www.linkedin.com/in/rogerio-coutinho-silva/
Engenheiro de Computação formado pela Universidade Federal de São Carlos (UFSCar). Sócio-fundador da Podium Tecnologia (Consultoria especializada em Governança de Segurança da Informação, Privacidade e Continuidade de Negócios) e da SimpleWay (Plataforma de Governança de Segurança Cibernética, Privacidade e IA).
.png)