Shadow AI: O que é e como preveni-lo

A inovação tecnológica tem o hábito de trazer consequências inesperadas.

Basta olhar para a inteligência artificial como o exemplo mais recente. Chatbots populares e ferramentas baseadas em IA deram origem ao shadow AI, que consiste no uso corporativo não autorizado de IA generativa e softwares de IA.

O shadow AI, assim como o shadow IT, geralmente assume a forma de atividades aparentemente inofensivas, como pedir ao ChatGPT que resuma um e-mail. No entanto, as repercussões do uso de software não autorizado para lidar com informações sensíveis podem, compreensivelmente, ter consequências de longo alcance para a segurança de dados e a conformidade regulatória.

Equipes de TI experientes estão se antecipando a esses riscos por meio de uma melhor visibilidade e controle sobre o shadow AI — aqui está como.

Os Quatro Principais Riscos do Shadow AI

Compreender onde residem os riscos do shadow AI é o primeiro passo para preveni-lo. Embora o shadow AI apresente desafios únicos à segurança de dados, ele não é fundamentalmente diferente do uso não autorizado de aplicativos na nuvem, algo que todo administrador de TI conhece muito bem.

O uso de software não sancionado cria inerentemente o risco de perda de dados, já que a equipe de segurança não teve a chance de avaliar os controles que o fornecedor implementou para prevenir essa perda. Enquanto organizações maduras como Microsoft, Salesforce ou ServiceNow possuem vasta documentação sobre como protegem informações sensíveis em suas plataformas, há milhares de startups de IA que, especialmente, não têm tais garantias.

Da mesma forma, se a equipe de segurança não tem controle rigoroso sobre como e onde a IA interage com os dados, as empresas correm o risco de não conformidade com regulamentações locais e internacionais. Legisladores estão cada vez mais buscando impor limites sobre como a IA armazena e utiliza dados, cabendo às organizações garantir que os dados sob sua responsabilidade sejam tratados corretamente.

Claro, também existem riscos específicos à IA. Por exemplo, alguns modelos de inteligência artificial são treinados por meio de entradas fornecidas pelos usuários. Nos casos em que funcionários compartilham registros financeiros ou informações de clientes para análises ou respostas, isso pode, inadvertidamente, causar um vazamento de dados. Nessas situações, as empresas precisam garantir que a IA não seja treinada com esses dados — uma tarefa difícil no caso de shadow AI — ou podem acabar disponibilizando essas informações em respostas para outros usuários.

Os desafios enfrentados pelas empresas não se limitam apenas às entradas da IA, mas também aos seus outputs. Conteúdos escritos e códigos gerados por IA generativa acarretam riscos de violação de direitos autorais e marcas registradas, e injeções de prompts podem transformar a aplicação desse código em um produto principal em um perigo, ao criar uma possível porta de entrada para o software ou apresentar uma ameaça à segurança.

Como Obter Visibilidade e Controle do Shadow AI

Prevenir o shadow AI requer uma abordagem em várias camadas. Naturalmente, as organizações devem investir tempo para desenvolver uma política de uso aceitável que defina claramente quais aplicações de IA podem ser utilizadas e qual é o processo para avaliação de novas propostas de software.

Garantir a segurança de informações sensíveis contra perda ou vazamento de dados deve ser uma prioridade no contexto do shadow AI — uma razão fundamental pela qual a visibilidade dos dados é tão crítica. O Forcepoint Data Security Posture Management (DSPM) permite a descoberta e classificação de dados em toda a empresa, ajudando as equipes de segurança a identificar quais dados existem e onde estão sendo utilizados. No caso de proteger dados no ChatGPT, o Forcepoint DSPM pode monitorar em tempo real os dados compartilhados com o chatbot e revogar esse acesso, se necessário.

O Forcepoint Data Loss Prevention ajuda as organizações a criar, gerenciar e aplicar políticas destinadas a prevenir o compartilhamento de informações sensíveis, como PII (informações de identificação pessoal), PHI (informações de saúde protegidas) e outros dados regulados ou proprietários com ferramentas de IA. Essas políticas oferecem um controle sem precedentes, bloqueando a cópia e colagem de dados para IA generativa, interrompendo atividades de risco relacionadas ao shadow AI em tempo real.

Por fim, o Forcepoint Cloud Access Security Broker (CASB) e o Forcepoint Secure Web Gateway (SWG) podem ser usados em conjunto para controlar o acesso a aplicações de IA na nuvem e na web. Esses recursos podem limitar o acesso com base em fatores como a posição ou equipe do usuário, além de direcionar os funcionários para softwares aprovados onde houver sobreposição de funcionalidades — como do Gemini ao ChatGPT, por exemplo.

Converse com um especialista hoje para explorar todas as maneiras pelas quais a Forcepoint pode fornecer visibilidade e controle sobre o shadow AI, garantindo a segurança dos dados da sua organização.