O rápido aumento das ferramentas de IA no local de trabalho, juntamente com a pressão crescente sobre os funcionários para que façam mais e mais depressa, significa que as organizações enfrentam um ponto cego de segurança crescente: a utilização de agentes de IA.
Escrito pelo nosso VP de Produto, Mark Hamill, este artigo analisa de forma prática a forma como a IA está a ser implementada atualmente nas organizações, explora os riscos da “IA sombra” e salienta por que razão políticas claras, formação e ferramentas aprovadas acessíveis são essenciais para proteger dados sensíveis.
Tinha três dias até o caso ir a tribunal.
Os documentos acumulavam-se - depoimentos de testemunhas, casos precedentes, notas de preparação de seis meses. Não tinhas horas suficientes. Uma colega mencionou, de passagem, que estava a usar o ChatGPT para resumir documentos longos. Parecia-lhe útil. Deduziu que, se ela o usava abertamente, devia ser bom, alguém devia ter dado o seu aval. Abriu um separador no browser, colou as notas do caso e obteve um resumo limpo em minutos. Funcionou. Por isso, repete o processo, e repete.
Não sabia que o nível gratuito do ChatGPT não inclui protecções de dados empresariais. Não sabia que o conteúdo enviado através de uma ferramenta de IA para consumidores pode, dependendo das definições, ser utilizado para melhorar o modelo. Não sabia que a sua empresa tinha uma política sobre este assunto porque ninguém lhe tinha dito que havia uma. Era um advogado com um prazo a cumprir em tribunal, fazendo o que qualquer profissional competente faz sob pressão: utilizou a melhor ferramenta disponível e fez o trabalho.
É este o aspeto da IA sombra. Não és um empregado desonesto. Não é alguém indiferente ao risco. Apenas um profissional capaz a preencher um vazio e a tentar fazer o seu trabalho.
Ninguém lhes disse para não o fazerem
Estudos recentes sugerem que cerca de metade de todos os trabalhadores do conhecimento estão a utilizar ferramentas de IA que os seus empregadores não aprovaram. Metade. Isto significa que qualquer política que a tua organização tenha - se é que tem alguma - já está a ser ultrapassada pelo comportamento que se destina a regular.
A razão não é a rebeldia. A maior parte das pessoas que utilizam ferramentas de IA não autorizadas não o fazem para contornar os controlos de segurança. Fazem-no porque não sabiam que existia uma regra, ou porque um colega estava a utilizar a mesma ferramenta, o que consideraram ser uma aprovação institucional. Se o gerente do meu gerente está a usar abertamente o ChatGPT em reuniões, certamente que já foi autorizado? E a versão gratuita faz a mesma coisa que a paga, certo? Então, porquê fazer um pedido de aquisição quando a ferramenta está ali mesmo, num separador do browser?
Estas são conclusões inteiramente lógicas tiradas de informações incompletas. A falha não está no julgamento dos teus empregados. Está na tua comunicação.
A outra metade do problema
Fora do escritório, a mensagem que os teus empregados estão a receber é clara e inequívoca: adopta a IA ou fica para trás. Utiliza estas ferramentas ou vê a tua carreira tornar-se irrelevante. Todas as manchetes, todas as conferências de líderes, todos os artigos de fôlego sobre a IA que está a tirar empregos dizem-lhes para andarem mais depressa, experimentarem mais, ficarem à frente da curva. Depois chegam ao trabalho e descobrem que o caminho aprovado envolve um formulário de aquisição, uma análise de TI e uma espera de seis semanas por uma licença.
A mensagem interna é o silêncio. A mensagem externa é a urgência existencial. É exatamente nessa colisão que nasce a IA sombra.
O que está realmente a sair pela porta
O risco não é a ferramenta. É o que é introduzido nela.
Os produtos de IA de consumo que oferecem níveis gratuitos e contas pessoais não estão vinculados aos mesmos acordos de dados que o software empresarial. Quando um funcionário cola um documento numa ferramenta de IA gratuita, esses dados podem sair totalmente do controlo da organização. Dependendo da plataforma e das suas definições, podem ser armazenados, revistos ou utilizados para treinar o modelo. A maioria dos empregados não faz ideia de que existe uma distinção significativa entre a versão gratuita e a versão empresarial. Para eles, é o mesmo produto.
Isto é mais importante nalgumas funções do que noutras. Um advogado a colar documentos privilegiados de um cliente. Uma equipa financeira a resumir discussões sobre uma fusão. Um gestor de RH a redigir uma nota disciplinar. Não se trata de riscos hipotéticos. Em 2023, os engenheiros da Samsung colaram código fonte proprietário no ChatGPT três vezes, em três equipas diferentes, sem que ninguém se apercebesse. O código já estava disponível antes de alguém levantar a mão.
A invisibilidade é o que torna a IA difícil de gerir. A TI sombra - funcionários que utilizam software não autorizado - deixou, pelo menos, rastos na rede e nos terminais. Uma interação de IA sombra é apenas um separador do browser. Não há nenhum instalador para a bloquear. Quando alguém se apercebe do que aconteceu, os dados já saíram pela porta fora.
O que podes fazer
O instinto é bloquear a IA. Bloqueia as ferramentas, destrói o router do escritório e deixa um bilhete ameaçador na cozinha, junto à torradeira.
Mas embora possas bloquear as ferramentas, não podes bloquear a intenção. Se removeres a ferramenta e deixares a pressão - os prazos, a carga de trabalho, a mensagem ambiente de que a adoção da IA não é negociável - as pessoas encontram outra ferramenta. Foi exatamente o que aconteceu com o Dropbox há uma década. As organizações bloquearam-no. Os empregados passaram a utilizar o correio eletrónico pessoal. O comportamento não parou; apenas se tornou mais difícil de ver.
As organizações que resolveram o problema das TI sombra não foram as que tinham os controlos mais rigorosos. Foram as que forneceram uma alternativa credível e acessível - mais rapidamente. A mesma lógica aplica-se aqui.
Se estás a tentar gerir a forma como os teus funcionários utilizam a IA, começa por tornar a tua posição visível e clara. Não enterrada numa política de utilização aceitável que vive na intranet que ninguém lê, mas publicada e reconhecida por todos. Aborda o assunto na tua reunião geral. Indica as ferramentas que as pessoas estão a utilizar. Explica a diferença entre a versão gratuita e a versão empresarial numa linguagem que tenha significado para um profissional não técnico. Sê claro sobre o que é aprovado, o que não é e porquê. Não como uma ameaça. Como informação de segurança.
Informa os teus gestores. O pressuposto “o meu colega utiliza-a, por isso não deve haver problema” percorre as equipas porque os gestores utilizam frequentemente estas ferramentas sem compreenderem as implicações. Se os teus gestores não souberem explicar a tua política de IA, os teus empregados não a seguirão.
Organiza uma formação que aborde os equívocos específicos - não uma mensagem genérica do tipo “tem cuidado com os dados”, mas uma orientação direcionada para os cenários exactos que as pessoas enfrentam - prazos iminentes, grandes conjuntos de dados, numerosos documentos que apenas necessitam de um resumo rápido. Torna-a suficientemente concreta para ser lembrada quando alguém estiver a três horas de um prazo.
E torna a via aprovada verdadeiramente fácil de utilizar. Se a obtenção de uma licença de IA legítima demorar seis semanas, as pessoas não vão esperar. Usa o que tem. O atrito na via aprovada não é uma caraterística de segurança. É um gerador de IA sombra.
-
O advogado ganhou o seu caso. Os documentos foram tratados, o esqueleto da argumentação foi bem conseguido, o cliente ficou satisfeito. Algures no rasto dos dados, se alguém estivesse a ver, essas notas do processo tinham feito uma viagem não autorizada.
Ninguém estava a olhar.
Algures na tua organização, aconteceu a mesma coisa hoje. Os teus empregados não estão a contornar a tua política de segurança. Estão a tomar uma decisão de risco que tu não tomaste por eles. A questão é se vais continuar a deixar que isso aconteça ou se vais tornar mais fácil fazer a coisa certa do que adivinhar.
Torna mais fácil fazer o que está certo
A IA sombra não é um problema tecnológico, é um problema de visibilidade e comportamento. Se os funcionários não conhecerem as regras, não conseguirem aceder rapidamente a ferramentas aprovadas ou não compreenderem o risco, serão eles próprios a preencher a lacuna.
A MetaCompliance ajuda as organizações a colmatar essa lacuna com uma sensibilização para a segurança direcionada e orientada para o comportamento. Desde a comunicação clara das políticas até à formação baseada em cenários reais, ajudamo-lo a tornar o risco visível, a orientação acionável e o comportamento seguro o caminho mais fácil.
Vê como o MetaCompliance pode ajudar-te a controlar o risco humano.