O rápido aumento das ferramentas de IA no local de trabalho, juntamente com a pressão crescente sobre os funcionários para que façam mais e mais depressa, significa que as organizações enfrentam um ponto cego de segurança crescente: a utilização de agentes de IA.
Escrito pelo nosso VP de Produto, Mark Hamill, este artigo analisa de forma prática a forma como a IA está a ser implementada atualmente nas organizações, explora os riscos da “IA sombra” e salienta por que razão políticas claras, formação e ferramentas aprovadas acessíveis são essenciais para proteger dados sensíveis.
Tinha três dias até o caso ir a tribunal.
Os documentos acumulavam-se - depoimentos de testemunhas, casos precedentes, notas de preparação de seis meses. Não tinhas horas suficientes. Uma colega mencionou, de passagem, que estava a usar o ChatGPT para resumir documentos longos. Parecia-lhe útil. Deduziu que, se ela o usava abertamente, devia ser bom, alguém devia ter dado o seu aval. Abriu um separador no browser, colou as notas do caso e obteve um resumo limpo em minutos. Funcionou. Por isso, repete o processo, e repete.
Não sabia que o nível gratuito do ChatGPT não inclui protecções de dados empresariais. Não sabia que o conteúdo enviado através de uma ferramenta de IA para consumidores pode, dependendo das definições, ser utilizado para melhorar o modelo. Não sabia que a sua empresa tinha uma política sobre este assunto porque ninguém lhe tinha dito que havia uma. Era um advogado com um prazo a cumprir em tribunal, fazendo o que qualquer profissional competente faz sob pressão: utilizou a melhor ferramenta disponível e fez o trabalho.
É este o aspeto da IA sombra. Não és um empregado desonesto. Não é alguém indiferente ao risco. Apenas um profissional capaz a preencher um vazio e a tentar fazer o seu trabalho.
Ninguém lhes disse para não o fazerem
Estudos recentes sugerem que cerca de metade de todos os trabalhadores do conhecimento estão a utilizar ferramentas de IA que os seus empregadores não aprovaram. Metade. Isto significa que qualquer política que a tua organização tenha - se é que tem alguma - já está a ser ultrapassada pelo comportamento que se destina a governar.
A razão não é a rebeldia. A maior parte das pessoas que utilizam ferramentas de IA não autorizadas não o fazem para contornar os controlos de segurança. Fazem-no porque não sabiam que existia uma regra, ou porque um colega estava a utilizar a mesma ferramenta, o que consideraram ser uma aprovação institucional. Se o gerente do meu gerente está a usar abertamente o ChatGPT em reuniões, certamente que já foi autorizado? E a versão gratuita faz a mesma coisa que a paga, certo? Então, porquê fazer um pedido de aquisição quando a ferramenta está ali mesmo, num separador do browser?
Estas são conclusões inteiramente lógicas tiradas de informações incompletas. A falha não está no julgamento dos teus empregados. Está na tua comunicação.
A outra metade do problema
Fora do escritório, a mensagem que os teus empregados estão a receber é clara e inequívoca: adopta a IA ou fica para trás. Utiliza estas ferramentas ou vê a tua carreira tornar-se irrelevante. Todas as manchetes, todas as conferências de líderes, todos os artigos de fôlego sobre a IA que está a tirar empregos dizem-lhes para andarem mais depressa, experimentarem mais, ficarem à frente da curva. Depois chegam ao trabalho e descobrem que o caminho aprovado envolve um formulário de aquisição, uma análise de TI e uma espera de seis semanas por uma licença.
A mensagem interna é o silêncio. A mensagem externa é a urgência existencial. É exatamente nessa colisão que nasce a IA sombra.
O que está realmente a sair pela porta
O risco não é a ferramenta. É o que é introduzido nela.
Os produtos de IA de consumo que oferecem níveis gratuitos e contas pessoais não estão vinculados aos mesmos acordos de dados que o software empresarial. Quando um funcionário cola um documento numa ferramenta de IA gratuita, esses dados podem sair totalmente do controlo da organização. Dependendo da plataforma e das suas definições, podem ser armazenados, revistos ou utilizados para treinar o modelo. A maioria dos empregados não faz ideia de que existe uma distinção significativa entre a versão gratuita e a versão empresarial. Para eles, é o mesmo produto.
Isto é mais importante nalgumas funções do que noutras. Um advogado a colar documentos privilegiados de um cliente. Uma equipa financeira a resumir discussões sobre uma fusão. Um gestor de RH a redigir uma nota disciplinar. Não se trata de riscos hipotéticos. Em 2023, os engenheiros da Samsung colaram código fonte proprietário no ChatGPT três vezes, em três equipas diferentes, sem que ninguém se apercebesse. O código já estava disponível antes de alguém levantar a mão.
A invisibilidade é o que torna a IA difícil de gerir. A TI sombra - funcionários que utilizam software não autorizado - deixou, pelo menos, rastos na rede e nos terminais. Uma interação de IA sombra é apenas um separador do browser. Não há nenhum instalador para a bloquear. Quando alguém se apercebe do que aconteceu, os dados já saíram pela porta fora.
O que podes fazer
O instinto é bloquear a IA. Tranca as ferramentas, destrói o router do escritório e deixa um bilhete ameaçador na cozinha, junto à torradeira.
Mas embora possas bloquear as ferramentas, não podes bloquear a intenção. Se removeres a ferramenta e deixares a pressão - os prazos, a carga de trabalho, a mensagem ambiente de que a adoção da IA não é negociável - as pessoas encontram outra ferramenta. Foi exatamente o que aconteceu com o Dropbox há uma década. As organizações bloquearam-no. Os empregados passaram a utilizar o correio eletrónico pessoal. O comportamento não parou; apenas se tornou mais difícil de ver.
As organizações que resolveram o problema das TI sombra não foram as que tinham os controlos mais rigorosos. Foram as que forneceram uma alternativa credível e acessível - mais rapidamente. A mesma lógica aplica-se aqui.
Se estás a tentar gerir a forma como os teus funcionários utilizam a IA, começa por tornar a tua posição visível e clara. Não enterrada numa política de utilização aceitável que vive na intranet que ninguém lê, mas publicada e reconhecida por todos. Aborda o assunto na tua reunião geral. Indica as ferramentas que as pessoas estão a utilizar. Explica a diferença entre a versão gratuita e a versão empresarial numa linguagem que tenha significado para um profissional não técnico. Sê claro sobre o que é aprovado, o que não é e porquê. Não como uma ameaça. Como informação de segurança.
Informa os teus gestores. O pressuposto “o meu colega utiliza-a, por isso não deve haver problema” percorre as equipas porque os gestores utilizam frequentemente estas ferramentas sem compreenderem as implicações. Se os teus gestores não souberem explicar a tua política de IA, os teus empregados não a seguirão.
Organiza uma formação que aborde os equívocos específicos - não uma mensagem genérica do tipo “tem cuidado com os dados”, mas uma orientação direcionada para os cenários exactos que as pessoas enfrentam - prazos iminentes, grandes conjuntos de dados, numerosos documentos que apenas necessitam de um resumo rápido. Torna-a suficientemente concreta para ser lembrada quando alguém estiver a três horas de um prazo.
E torna a via aprovada verdadeiramente fácil de utilizar. Se a obtenção de uma licença de IA legítima demorar seis semanas, as pessoas não vão esperar. Usa o que tem. O atrito na via aprovada não é uma caraterística de segurança. É um gerador de IA sombra.
-
O advogado ganhou o seu caso. Os documentos foram tratados, o esqueleto da argumentação foi bem conseguido, o cliente ficou satisfeito. Algures no rasto dos dados, se alguém estivesse a ver, essas notas do processo tinham feito uma viagem não autorizada.
Ninguém estava a olhar.
Algures na tua organização, aconteceu a mesma coisa hoje. Os teus empregados não estão a contornar a tua política de segurança. Estão a tomar uma decisão de risco que tu não tomaste por eles. A questão é se vais continuar a deixar que isso aconteça ou se vais tornar mais fácil fazer a coisa certa do que adivinhar.
Torna mais fácil fazer o que está certo
A IA sombra não é um problema tecnológico, é um problema de visibilidade e comportamento. Se os funcionários não conhecerem as regras, não conseguirem aceder rapidamente a ferramentas aprovadas ou não compreenderem o risco, serão eles próprios a preencher a lacuna.
A MetaCompliance ajuda as organizações a colmatar essa lacuna com uma sensibilização para a segurança direcionada e orientada para o comportamento. Desde a comunicação clara das políticas até à formação baseada em cenários reais, ajudamo-lo a tornar o risco visível, a orientação acionável e o comportamento seguro o caminho mais fácil.
Vê como o MetaCompliance pode ajudar-te a controlar o risco humano.
FAQs sobre a IA Sombra
O que é a IA sombra no local de trabalho?
A IA sombra refere-se a funcionários que utilizam ferramentas de inteligência artificial que não foram aprovadas ou autorizadas pela sua organização. Isto inclui frequentemente plataformas de IA para consumidores, como o ChatGPT, ou outras ferramentas de IA generativas que são utilizadas sem supervisão, criando potenciais riscos de cibersegurança, conformidade e privacidade dos dados.
Porque é que a IA sombra é considerada um risco para a cibersegurança?
A IA sombra pode expor dados sensíveis da empresa, informações de clientes, registos financeiros ou propriedade intelectual a plataformas de IA de terceiros fora do controlo da organização. Os funcionários podem, sem saber, carregar informações confidenciais em ferramentas de IA gratuitas que não dispõem de proteção de dados a nível empresarial, aumentando o risco de fugas de dados e violações de conformidade.
Como é que as organizações podem evitar que os funcionários utilizem ferramentas de IA não autorizadas?
As organizações podem reduzir os riscos da IA sombra criando políticas claras de utilização da IA, fornecendo ferramentas de IA aprovadas, dando formação específica de sensibilização para a segurança e assegurando que os funcionários compreendem a diferença entre as plataformas de IA do consumidor e da empresa. Tornar as soluções aprovadas de fácil acesso também é essencial para desencorajar soluções alternativas arriscadas.
Que tipos de dados nunca devem ser introduzidos nas ferramentas de IA?
Informações sensíveis, como dados de clientes, documentos legais, registos financeiros, palavras-passe, estratégias comerciais confidenciais, ficheiros de RH e código fonte proprietário nunca devem ser introduzidos em ferramentas de IA não autorizadas. Os empregados devem seguir sempre as políticas da empresa sobre a utilização segura da IA generativa e a proteção de dados.
Porque é que a formação de sensibilização para a segurança é importante para gerir a IA sombra?
A formação de sensibilização para a segurança ajuda os colaboradores a compreenderem os riscos associados à utilização não autorizada da IA, incluindo a exposição de dados, as violações de conformidade e a perda de propriedade intelectual. A formação baseada em cenários também ajuda os funcionários a tomar decisões mais seguras sob pressão e incentiva a utilização responsável das tecnologias de IA no local de trabalho.