Para manter a competitividade, as empresas estão adotando a inteligência artificial de forma rápida e em larga escala.
Poucas, no entanto, realmente compreendem a complexidade dos riscos que a IA introduz e a inadequação de sua metodologia atual de gestão para lidar com isso.
Essa tensão é o cerne do desafio: os riscos associados à IA estão aumentando exponencialmente e não podem ser administrados adequadamente sem uma governança eficaz. A governança da IA só será bem sucedida se for construída como uma disciplina multifuncional, unindo segurança, privacidade, riscos, área jurídica, engenharia e negócios em torno de objetivos compartilhados.
Enquanto tentam navegar por essa mudança monumental, as organizações podem (e devem) aprender com os pares que já estão construindo programas de IA responsáveis e escaláveis.
Por que o risco da IA é diferente – e por que a governança é fundamental
A inteligência artificial introduz novas classes de incerteza, que os processos tradicionais de segurança e de gestão de riscos de terceiros não foram desenvolvidos para avaliar. Mesmo a identificação dos recursos de IA existentes dentro de um ambiente já é bastante difícil. Funcionários adotam ferramentas por conta própria, terceiros incorporam discretamente recursos de IA em suas plataformas e equipes internas experimentam modelos antes mesmo que processos formais sejam iniciados.
As equipes de segurança estão se adaptando, com a integração da descoberta de dados por IA às ferramentas existentes de visibilidade e gerenciamento de ativos. Esses profissionais catalogam sistemas de IA da mesma forma que fariam com qualquer tecnologia crítica para os negócios, recorrendo a proteções contratuais para reduzir a exposição no uso de ferramentas externas. A visibilidade é só o começo, no entanto.
O maior desafio é o fato de que os sistemas de IA são dinâmicos, probabilísticos e evoluem constantemente. Os modelos aprendem com novos dados, os fornecedores lançam novos recursos e o comportamento dos sistemas pode mudar ao longo do tempo. Isso exige uma mudança, da avaliação estática e pontual ao monitoramento contínuo e o controle programático.
Também é preciso ter uma posição clara da organização quanto ao apetite ao risco. Quais são os usos aceitáveis? Que dados podem ser usados em sistemas de IA? Que funções devem continuar sendo revisadas por pessoas? Sem diretrizes de governança, cada equipe avalia essas questões de maneira diferente, e a superfície de risco se torna impossível de gerenciar.
Uma base sólida de governança de IA proporciona às equipes de gestão de riscos o que é necessário para trabalhar de forma eficaz:
- Clareza sobre finalidades e casos de uso
- Categorias de risco definidas
- Expectativas em relação à transparência e documentação
- Um processo compartilhado para decidir entre o desenvolvimento interno e a aquisição de soluções
- Políticas para dados, seleção de modelos e uso aceitável.
Com essas medidas, a gestão de riscos de IA se torna mais simples, menos sobrecarregada.
Construção do modelo operacional: o comitê de governança de IA
A maioria das organizações que adotam rapidamente a IA têm criado comitês de governança, para unificar a supervisão e a tomada de decisões. Esses comitês fazem a conexão entre a inovação e o controle responsável.
Sua composição é intencionalmente multifuncional. As equipes de privacidade, segurança, gestão de riscos, conformidade, assessoria jurídica, TI e estratégia formam o núcleo. Profissionais de engenharia, produto e dados participam quando necessário. Dependendo do modelo de negócios, as áreas de operações e finanças também podem ter um papel importante.
Em geral, as responsabilidades desses comitês incluem:
Definição da estratégia da empresa para a IA e das barreiras de proteção (guardrails): isso envolve políticas, usos aceitáveis, seleção de modelos e alinhamento a marcos regulatórios como NIST, OCDE, normas ISO e o mosaico global de leis sobre IA.
Revisão de casos de uso de alto risco: enquanto cerca de 80% das iniciativas de IA podem ser submetidas a processos padronizados de aquisição e avaliação técnica, as mais avançadas exigem uma avaliação multifuncional mais aprofundada sobre usos pretendidos, potenciais danos, impacto sobre o consumidor e tolerância ao risco da organização.
Orientação em decisões de compra: as equipes avaliam se os recursos de IA devem ser desenvolvidos internamente ou licenciadas de fornecedores, levando em conta as capacidades, as implicações de segurança e o custo a longo prazo.
Garantia de transparência para clientes e partes interessadas: documentação das finalidades, modelos, atividades de tratamento de dados e expectativas quanto à revisão humana de forma clara e acessível – por exemplo, por meio de relatórios de transparência.
Essa estrutura não só protege a organização, como também promove a inovação responsável. Regras claras dão confiança às equipes, o processo é consistente e a empresa aprende a converter experimentação em produção.
O que isso significa para a gestão de riscos de terceiros?
À medida que as organizações adotam a IA, essa tecnologia se interlaça cada vez mais com a gestão de riscos de terceiros, de formas para as quais os marcos tradicionais não foram concebidos. Muitos fornecedores incorporam IA em suas plataformas sem indicar isso de forma destacada. Isso significa que as equipes de gestão de riscos devem observar não só as ferramentas que se promovem explicitamente como IA, identificando também como essa tecnologia opera nos aplicativos existentes.
Líderes em segurança e privacidade enfatizam a importância de atualizar os processos de adoção e avaliação, a fim de compreender como os fornecedores usam a IA, que dados alimentam seus modelos, se informações de clientes são usadas no treinamento e como novos recursos são introduzidos.
Sistemas de IA mudam continuamente, o que exige uma maior avaliação. Programas de governança de IA podem criar barreiras de proteção como supervisão clara, salvaguardas contratuais, políticas atualizadas e monitoramento contínuo. Isso permite que as organizações equilibrem inovação e gestão responsável dos riscos.
A transformação da governança em crescimento
Com as estruturas de governança implementadas, as organizações podem operacionalizar com segurança a adoção de ferramentas de IA. O ciclo de vida passa a se assemelhar cada vez mais à gestão de riscos de terceiros, porém com modificações significativas.
Entrada/admissão: esta etapa inicial do processo agora exige uma contextualização muito mais abrangente. As equipes precisam capturar dados de entrada e saída, sensibilidade das informações, linhagem dos modelos, resultados esperados e potencial de desvio ou enviesamento nos algoritmos. O objetivo é não só avaliar segurança e privacidade, mas também mapear o alinhamento da IA aos objetivos comerciais e às expectativas regulatórias.
Avaliação: mais abrangente e profunda. Equipes jurídica, de privacidade e de segurança colaboram para determinar se os contratos com fornecedores incluem as proteções adequadas, se os dados podem ser usados no treinamento de modelos e como as atualizações devem ser comunicadas.
Monitoramento: supervisão contínua. Os sistemas de IA mudam rapidamente, o que significa que a exposição ao risco pode se transformar no mesmo ritmo. As organizações incorporam perguntas específicas sobre IA em reavaliações, atualizam políticas conforme a evolução dos modelos e mantêm visibilidade contínua sobre as alterações promovidas pelos fornecedores em seus recursos de IA.
Quando as organizações acertam nisso, a governança deixa de ser vista como um obstáculo e passa a ser um facilitador do crescimento. Saiba mais neste webinar com Tim Mullen, diretor de segurança da informação, e Brett Tarr, chefe de privacidade e governança da OneTrust.
