Shadow IT sempre foi problema. Shadow AI e Shadow IT com dados sensiveis, decisoes automatizadas e zero auditabilidade - e outra categoria de risco.
O que e Shadow AI
Shadow AI e o uso de ferramentas de IA por funcionarios sem aprovacao e sem controle corporativo. ChatGPT com dados de clientes. Copilot analisando planilhas de RH.
Em 2023, a Samsung vazou codigo-fonte proprietario porque engenheiros usaram ChatGPT para depuracao. A informacao foi para o modelo de treinamento da OpenAI.
Por que e diferente de Shadow IT
Com Shadow AI:
- Dados saem da empresa para servidores de terceiros (muitas vezes nos EUA)
- LGPD e violada se dados pessoais sao enviados sem DPA com o fornecedor
- Propriedade intelectual pode ir para conjuntos de treinamento
- Decisoes automatizadas podem ser tomadas sem rastreabilidade
O que acontece nas empresas brasileiras agora
- 60-80% dos funcionarios de escritorio usam alguma ferramenta de IA regularmente
- Menos de 10% das empresas tem politica de uso de IA aprovada
- A maioria dos acordos com fornecedores de IA nao tem DPA adequado para dados brasileiros
Como o auditor vai encontrar isso
Em auditorias SOX e ISO 27001, auditores experientes ja perguntam:
- "Qual e a politica de uso de IA da empresa?"
- "Como voces controlam o que e enviado a modelos de linguagem externos?"
Ausencia de politica de IA em 2025 vai aparecer como achado em relatorios de auditoria.
O que fazer
Imediato (esta semana):
- Publicar politica de uso de IA - pode ser uma pagina
- Definir o que e permitido (texto generico sem dados de clientes) e o que nao e
- Comunicar para todos os funcionarios
Em 30 dias:
- Inventario das ferramentas de IA em uso
- Avaliacao dos contratos com fornecedores de IA quanto a DPA
Anderson Chipak - Auditor de Sistemas Criticos | ALC Consultoria | alc.srv.br
Top comments (0)