• CIBERSEGURANÇA

Inteligência Artificial Corporativa: exige Segurança, Privacidade, Conformidade Legal, Responsabilização, Sustentabilidade e Alinhamento com a Governança Corporativa

Por
Edison Fontes
-
0

De uma maneira simplificada existe o Ambiente Matemático de Tecnologia de Inteligência Artificial Público, e o Ambiente Matemático de Tecnologia de Inteligência Artificial Corporativo. Para simplificar, chamaremos somente de Inteligência Artificial (IA) como a mídia atualmente denomina.

No primeiro ambiente (público), não necessariamente existem grande compromissos. Porém, quando queremos utilizar uma ferramenta ou um ambiente de Inteligência Artificial para uso Corporativo, somos obrigados profissionalmente a considerar Princípios que precisam ser obrigatoriamente seguidos. A IA na sua essência e evolução é muito antiga, desde os primeiros algoritmos que tratavam pequenas bases de dados e os algoritmos que geravam dados que são reaproveitados e realimentam estes algoritmos. Mas, recentemente com a facilidade do poder de processamento e de armazenamento a IA deu um salto de utilização.

O uso da IA no Ambiente Corporativo, exige que sejam considerados princípios e direcionadores para que a organização tenha um impacto positivo para o seu negócio e atendimento aos objetivos corporativos. Cito a seguir os Princípios que considero essenciais. Com certeza, por limitação, posso deixar de considerar alguns, mas peço ao leitor que acrescente nos comentários, e junto construamos uma referência de excelência. Seguem os Princípios que devem ser considerados:

  1. Segurança da Informação

Como um Ambiente Matemático de Tratamento de Dados, é necessário ter controles para garantir a sua integridade. Suas bases de dados devem ser protegidas para não permitir tratamento indevido de: acessos, alteração, sequestro e similar. Para tanto deve ter controles de:

  1. Acesso à informação. Autorização e garantia periódica de usuários autorizados. Muitos ataques de sequestro de dados (tipo Ransomware) começaram com falhas de controle de acesso lógico. 
  2. Registro de ações (equivalente ao log – imagine um erro: como isso aconteceu?)
  3. Cópias de segurança.
  4. Classificação da informação.
  5. Politicas e regulamentos com direcionadores organizacionais e responsabilização.
  6. Desenvolvimento seguro.
  7. Segurança desde a concepção do produto.
  8. Proteção do conhecimento. Alguns códigos podem ser a essência do negócio.
  1. Proteção da Privacidade

Em grande parte do mundo, já existe uma legislação sobre a privacidade dos dados pessoais do cidadão. E muitos com ênfase de uma maior rigidez para dados pessoais sensíveis e dados pessoais de crianças e adolescentes. 

Os dados pessoais existentes nas bases de tratamento pela IA devem estar em conformidade com a legislação tipo LGPD (Brasil) ou GDPR (União Europeia).

O não cumprimento de uma proteção adequada pode levar a impactos negativos para a organização e para os gestores da mesma.

  1. Conformidade Legal

A legislação sobre tratamento de dados, não se restringe aos dados pessoais citados acima. As organizações estão submetidas a legislações especificas dependendo do seu tipo de negócio, por exemplo o ecossistema das instituições financeiras, e o ecossistema das organizações de saúde. 

Esta conformidade exige que as bases de dados utilizadas pela IA tenham tratamento em conformidade com todas as exigências legais. Mas também afeta a forma que os controles de segurança da informação serão implementados. Você pode ter um excelente ambiente de IA, com tratamento adequado, uma excelente ferramenta de controle de acesso, mas a gestão do controle de acesso é fraca, e aí alguém não autorizado vai ter acesso a informação corretamente tratada, mas indevidamente acessada.

Lembrando a todos que existe Legislação sobre o tratamento de IA já em vigor na União Europeia e em andamento em vários países como o Brasil. São controles rigorosos que são obrigatórios por lei, e será pelo mercado.

  1. Responsabilização

Uma questão eu tenho certeza: é necessário definir as responsabilidades de profissionais por cada etapa (podemos chamar assim?), cada pedaço que constroem o ambiente da IA. Confesso que rigorosamente ainda não consigo identificar todas. Mas, por exemplo, a definição de regras de aprendizagem, a garantia de que o algoritmo tratará todas as pessoas (independente de cor, gênero, idade.. por exemplo) de maneira igual e respeitosa. A construção (programação) dos algoritmos, a garantia da integridade das bases de dados… e tantas outras implementações, mas que entendo que tudo tem que ter responsáveis humanos com Nome e Sobrenome.

Um carro sob total controle de uma IA, ao cometer um acidente com morte humana, tem que ter responsável. Somente assim, esses responsáveis terão o maior rigor na qualidade e segurança dos algoritmos de IA.

  1. Sustentabilidade

A corporação deve ter sustentabilidade adequada aos seus objetivos corporativos. O Ambiente Matemático da IA deve ter a garantia de que estará disponível durante todo o tempo de vida da organização. Acredito que para algumas organizações (atuais e no futuro) a indisponibilidade do ambiente IA inviabiliza a operação da organização e pode levar a falência ou a sua saída do mercado e sem volta.

A Sustentabilidade da IA inclui todos os seus componentes diretos, mas também os seus elementos indiretos como colaboradores, fornecedores, parceiros, alimentação das bases de dados, legislações futuras, e evidentemente o ambiente físico onde existe a IA. Normalmente este ambiente físico está em grandes fornecedores de serviços de TI mas precisam ser considerados, pois nenhum prestador é infalível.

  1. Alinhamento com a Governança Corporativa

O mais importante em toda e qualquer organização é o atendimento aos objetivos corporativos, que foram definidos diretamente pelos Donos, ou Conselho de Administração para as organizações de maior porte. É o atendimento ao Propósito da organização, considerando os Valores da mesma.

O Ambiente Matemático de Tecnologia da Inteligência Artificial, não pode fugir a esta regra. Tudo, sem exceção, tudo tem que ser realizado e tratado considerando de maneira Corporativa: os Objetivos, o Propósito, a Ética, os Valores e demais direcionadores. Simplificando: alinhamento à Governança Corporativa.

Diferente da IA Pública, a IA Corporativa tem como objetivo garantir uma melhora de performance e a efetividade da operação da empresa, alinhada sagradamente à Governança Corporativa.

Conclusão

Entendo que o tema Inteligência Artificial, com a abordagem atual, é complexo. Mas, tratando do seu uso Corporativo entendo que temos que enfrentar o desafio de definir como abordar e implementar este ambiente nas organizações. 

Tenho certeza que o atendimento a estes princípios gerará uma maior confiança corporativa para o Ambiente de IA. Mas, não só confiança. Gerará produtos de IA com maior segurança.

Entendo que esta minha abordagem é um "porto de partida, não é um porto de chegada". Mas precisamos ter argumentos para apresentar aos Acionistas, ao Conselho de Administração, a Alta Direção: como devemos tratar a Inteligência Artificial na organização? Sem pirotecnia e com abordagem profissional e respeitando os recursos investidos pelos acionistas. 

Esta é a minha contribuição inicial.

O que apresentei é o mínimo que cada organização deve ter, praticar e aprimorar.

Sua organização tem peculiaridades e podemos conversar sobre isto.

Edison Fontes, CISM, CISA, CRISC, Ms. 2024.

ARTIGOS RELACIONADOSMais do autor

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.