Monitoramento de IA: Segurança e Confiança no Local de Trabalho

Monitoramento de IA no Local de Trabalho

À medida que as organizações utilizam a inteligência artificial (IA) para monitorar o local de trabalho, também é essencial que elas se monitorem e, como resultado, reformulem suas expectativas de risco, governança e segurança. A IA deve ser gerida em duas direções: de dentro para fora, garantindo que as organizações a utilizem de maneiras que preservem a confiança, e de fora para dentro, protegendo os sistemas de IA contra ameaças externas.

Definindo “IA” em um Contexto Empresarial

A “IA” é frequentemente usada como um termo abrangente para qualquer coisa automatizada ou impulsionada por tecnologia. Isso obscurece diferenças significativas em risco, controle e tratamento regulatório. Para uma governança eficaz, as organizações devem distinguir entre automação tradicional, modelos preditivos, sistemas generativos e arquiteturas agentivas mais avançadas.

Essa precisão ajudará as organizações a realizar avaliações de risco precisas, projetar controles apropriados e fazer divulgações externas credíveis. Do ponto de vista tecnológico, a maioria das empresas utiliza IA generativa e chatbots como assistentes para geração de conteúdo, resumos e análises. Essas ferramentas podem melhorar significativamente a velocidade e a escala, mas também podem expandir oportunidades para acessos não autorizados e ataques.

À medida que a IA interage com dados sensíveis, conecta-se a sistemas internos e responde a prompts de usuários suscetíveis a manipulações, podem ser criados novos caminhos para exploração, aumentando a superfície de ataque da organização. Por exemplo, em 2025, pesquisadores de segurança descobriram uma vulnerabilidade afetando assistentes de IA em que indivíduos poderiam embutir instruções em e-mails. As instruções eram invisíveis para humanos, mas legíveis para o assistente de IA.

IA Agentiva

A IA agentiva é descrita como “uma nova geração de sistemas de IA que são semi ou totalmente autônomos e, portanto, capazes de perceber, raciocinar e agir por conta própria”. Essa IA aumenta os riscos ao orquestrar sequências de ações em ferramentas e sistemas da organização, o que pode acelerar e aumentar o impacto de configurações inadequadas, problemas de privilégios e mau uso.

É importante notar que a terminologia legal e técnica nem sempre é consistente. Muitas leis distinguem entre sistemas de IA de forma ampla e “tecnologia de tomada de decisão automatizada (ADM)” quando decisões afetam materialmente os direitos ou oportunidades dos indivíduos. No entanto, mesmo dentro do âmbito legal, as definições de IA diferem.

Riscos e Obrigações Legais

As organizações devem ser cautelosas com as definições dentro das estruturas de IA. Por exemplo, ferramentas de IA podem usar termos como “instâncias privadas”. Mas “privado” em um sentido de marketing ou infraestrutura não necessariamente tem o mesmo significado que “privado” do ponto de vista legal, de segurança ou de governança de dados.

Usando IA e Preservando a Confiança

Examinar a IA de dentro para fora significa analisar como a IA é implantada dentro da organização e como esse uso afeta as relações com os empregados, a confiança do cliente e as expectativas de terceiros. Muitos frameworks regulatórios e de políticas adotam abordagens baseadas em risco que se concentram e calibram controles em torno do contexto, do potencial dano e da autonomia do sistema da organização.

Princípios comuns incluem transparência e divulgação, testes pré-implantação e contínuos, responsabilidade e documentação, além de proteções para autonomia e privacidade. As principais preocupações legais e de conformidade internas incluem:

• Quando usar IA para monitorar desempenho, evite cruzar a linha para vigilância intrusiva dos empregados.
• Implemente medidas necessárias para prevenir vazamentos de informações confidenciais, incluindo dados pessoais, propriedade intelectual e informações comerciais sensíveis.
• Preserve a confiança dos consumidores e das partes interessadas sinalizando claramente quando chatbots ou ferramentas de tomada de decisão automatizada estão em uso e oferecendo meios significativos de comunicação e resolução de disputas.
• Gerencie riscos na cadeia de suprimentos tratando fornecedores de IA e serviços de IA incorporados como terceirizados críticos sujeitos a avaliações de risco estruturadas, salvaguardas contratuais e supervisão contínua.

Riscos operacionais significativos devido a erros humanos podem surgir após a implantação da IA, incluindo mau uso da IA, dependência excessiva da IA, violações de políticas e desalinhamento entre o uso pretendido e o real. Um programa de governança de IA maduro combina controles técnicos com treinamento, gerenciamento de acesso, monitoramento de conformidade às políticas, planejamento de detecção e resposta a incidentes, além da implementação de trilhas de auditoria robustas.

Proteger a IA como Superfície de Ataque

Olhar para a IA de fora para dentro trata os sistemas de IA como ativos e superfícies de ataque que requerem estratégias de segurança dedicadas. Uma parte significativa da atividade relacionada à IA ocorre além da visibilidade tradicional, especialmente onde modelos, agentes e camadas de orquestração estão hospedados em serviços de nuvem ou plataformas externas. Mesmo ferramentas avançadas de ponto final e identidade podem ter dificuldades para capturar completamente fluxos de prompts, ações de agentes e interações entre sistemas que definem fluxos de trabalho modernos de IA.

Os líderes de segurança devem esclarecer os objetivos de monitoramento, incluindo:

• Detectar o uso de IA por agentes de ameaça dentro dos ambientes empresariais. As ameaças podem incluir o uso de modelos generativos para criar campanhas sofisticadas de phishing ou comprometimento de e-mails comerciais, ou acelerar a movimentação lateral.
• Identificar e conter abusos ou compromissos de sistemas de IA e agentivos. Isso pode incluir tentativas de agentes de ameaça de ultrapassar permissões, exfiltrar dados ou usar ferramentas conectadas de forma inadequada.
• Gerenciar riscos internos onde sistemas de IA, se mal configurados, podem permitir acesso ou agregação de dados além do papel de um indivíduo.
• Controlar a exposição de dados expandida à medida que serviços de IA se integram a plataformas SaaS, nuvem e internas, criando novos fluxos e dependências de dados.

A IA está evoluindo, com soluções emergentes projetadas especificamente para monitorar o comportamento da IA, fazer cumprir políticas de prompts e ações de agentes, e fornecer registros auditáveis para conformidade. Com o tempo, essas capacidades provavelmente se concentrarão em plataformas de segurança, identidade e ponto final de próxima geração. No entanto, as equipes executivas e os diretores de segurança da informação não devem esperar que produtos totalmente maduros cheguem. Eles devem começar agora, priorizando o mapeamento do uso da IA, alinhando definições técnicas e legais, esclarecendo papéis e responsabilidades, e construindo estratégias de monitoramento e governança que abordem simultaneamente a confiança de dentro para fora e a segurança de fora para dentro.