{"id":24221,"date":"2025-09-26T09:00:47","date_gmt":"2025-09-26T12:00:47","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=24221"},"modified":"2025-09-24T16:15:18","modified_gmt":"2025-09-24T19:15:18","slug":"shadow-ai-3-policies","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/shadow-ai-3-policies\/24221\/","title":{"rendered":"Tr\u00eas abordagens para a &#8220;Shadow AI&#8221; no local de trabalho do ponto de vista da seguran\u00e7a cibern\u00e9tica"},"content":{"rendered":"<p>Um relat\u00f3rio recente do MIT, <a href=\"https:\/\/mlq.ai\/media\/quarterly_decks\/v0.1_State_of_AI_in_Business_2025_Report.pdf\" target=\"_blank\" rel=\"noopener nofollow\">The GenAI Divide:<\/a> <a href=\"https:\/\/mlq.ai\/media\/quarterly_decks\/v0.1_State_of_AI_in_Business_2025_Report.pdf\" target=\"_blank\" rel=\"noopener nofollow\">State of AI in Business 2025<\/a>, provocou uma forte queda nas a\u00e7\u00f5es de empresas de tecnologia. Embora o relat\u00f3rio ofere\u00e7a observa\u00e7\u00f5es interessantes sobre a economia e a organiza\u00e7\u00e3o da implementa\u00e7\u00e3o de IA nos neg\u00f3cios, ele tamb\u00e9m traz insights valiosos para as equipes de seguran\u00e7a cibern\u00e9tica. Os autores n\u00e3o se preocuparam com quest\u00f5es de seguran\u00e7a: os termos \u201cseguran\u00e7a\u201d, \u201cseguran\u00e7a cibern\u00e9tica\u201d ou \u201cprote\u00e7\u00e3o\u201d nem sequer aparecem no relat\u00f3rio. No entanto, suas conclus\u00f5es podem e devem ser consideradas ao planejar novas pol\u00edticas corporativas de seguran\u00e7a em IA.<\/p>\n<p>A observa\u00e7\u00e3o principal \u00e9 que, embora apenas 40% das organiza\u00e7\u00f5es pesquisadas tenham adquirido uma assinatura de LLM, 90% dos funcion\u00e1rios usam regularmente ferramentas pessoais de IA para suas fun\u00e7\u00f5es. E essa \u201ceconomia de Shadow AI\u201d (o termo usado no relat\u00f3rio) \u00e9 considerada mais eficaz do que a oficial. Apenas 5% das empresas percebem benef\u00edcio econ\u00f4mico com suas implementa\u00e7\u00f5es de IA, enquanto os funcion\u00e1rios est\u00e3o aprimorando com sucesso sua produtividade pessoal.<\/p>\n<p>A abordagem de cima para baixo na implementa\u00e7\u00e3o de IA costuma ser malsucedida. Portanto, os autores recomendam \u201caprender com o uso de Shadow AI e analisar quais ferramentas pessoais trazem benef\u00edcios antes de adquirir alternativas corporativas\u201d. Ent\u00e3o, como esse conselho se alinha \u00e0s normas de seguran\u00e7a cibern\u00e9tica?<\/p>\n<h2>Uma proibi\u00e7\u00e3o total da Shadow AI<\/h2>\n<p>Uma pol\u00edtica preferida por muitos CISOs \u00e9 testar e implementar ou, melhor ainda, criar suas pr\u00f3prias ferramentas de IA e, em seguida, simplesmente proibir todas as demais. Essa abordagem pode ser economicamente ineficiente, fazendo com que a empresa perca competitividade frente aos concorrentes. Tamb\u00e9m \u00e9 dif\u00edcil de implementar, j\u00e1 que garantir a conformidade pode ser tanto desafiador quanto caro. No entanto, para setores altamente regulamentados ou para unidades de neg\u00f3cio que lidam com informa\u00e7\u00f5es confidenciais, uma pol\u00edtica restritiva pode ser a \u00fanica alternativa vi\u00e1vel. Os seguintes m\u00e9todos podem ser utilizados para implement\u00e1-la:<\/p>\n<ul>\n<li>Bloquear o acesso a todas as principais ferramentas de IA na rede usando uma ferramenta de filtragem.<\/li>\n<li>Configurar um sistema <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/data-loss-prevention-dlp\/\" target=\"_blank\" rel=\"noopener\">DLP<\/a> para monitorar e bloquear a transfer\u00eancia de dados para servi\u00e7os e aplica\u00e7\u00f5es de IA; isso inclui impedir copiar e colar grandes blocos de texto usando a \u00e1rea de transfer\u00eancia.<\/li>\n<li>Adotar uma pol\u00edtica de lista de permiss\u00f5es de aplicativos em dispositivos corporativos para impedir que os funcion\u00e1rios executem aplicativos de terceiros que possam ser usados para acessar IA diretamente ou contornar outras medidas de seguran\u00e7a.<\/li>\n<li>Proibir o uso de dispositivos pessoais para tarefas relacionadas ao trabalho.<\/li>\n<li>Utilizar ferramentas adicionais, como an\u00e1lise de v\u00eddeo, para detectar e limitar a capacidade dos funcion\u00e1rios de fotografar as telas dos computadores com smartphones pessoais.<\/li>\n<li>Estabelecer uma pol\u00edtica corporativa que pro\u00edba o uso de qualquer ferramenta de IA, exceto aquelas aprovadas pela gest\u00e3o e implantadas pelas equipes de seguran\u00e7a da empresa. Essa pol\u00edtica deve ser formalmente documentada, e os funcion\u00e1rios devem receber o treinamento adequado.<\/li>\n<\/ul>\n<h2>Uso irrestrito de IA<\/h2>\n<p>Se a empresa considerar os riscos do uso de ferramentas de IA insignificantes, ou tiver departamentos que n\u00e3o lidam com dados pessoais ou informa\u00e7\u00f5es confidenciais, o uso de IA por essas equipes pode ser totalmente liberado. Ao definir uma lista breve de boas pr\u00e1ticas e restri\u00e7\u00f5es, a empresa pode observar os h\u00e1bitos de uso de LLM, identificar os servi\u00e7os mais utilizados e usar esses dados para planejar a\u00e7\u00f5es futuras e aprimorar suas medidas de seguran\u00e7a. Mesmo com essa abordagem democr\u00e1tica, ainda \u00e9 necess\u00e1rio:<\/p>\n<ul>\n<li>Treinar os funcion\u00e1rios nos princ\u00edpios b\u00e1sicos do uso respons\u00e1vel de IA com o aux\u00edlio de um m\u00f3dulo de seguran\u00e7a cibern\u00e9tica. Uma forma inicial de atua\u00e7\u00e3o: <a href=\"https:\/\/www.kaspersky.com.br\/blog\/how-to-use-chatgpt-ai-assistants-securely-2024\/22239\/\" target=\"_blank\" rel=\"noopener\">nossas recomenda\u00e7\u00f5es<\/a> ou <a href=\"https:\/\/k-asap.com\/pt\/?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">a inclus\u00e3o de um curso especializado na plataforma de conscientiza\u00e7\u00e3o sobre seguran\u00e7a da empresa<\/a>.<\/li>\n<li>Configurar o registro detalhado do tr\u00e1fego de aplicativos para analisar o ritmo de uso de IA e os tipos de servi\u00e7os utilizados.<\/li>\n<li>Certificar-se de que todos os funcion\u00e1rios tenham um <a href=\"https:\/\/www.kaspersky.com.br\/enterprise-security\/endpoint-detection-response-edr?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">agente EPP\/EDR<\/a> instalado em seus dispositivos de trabalho e uma solu\u00e7\u00e3o de seguran\u00e7a <a href=\"https:\/\/www.kaspersky.com.br\/premium?icid=br_bb2022-kdplacehd_acq_ona_smm__onl_b2c_kdaily_lnk_sm-team___kprem___\" target=\"_blank\" rel=\"noopener\">robusta em seus dispositivos pessoais<\/a>. (O aplicativo \u201cChatGPT\u201d foi a <a href=\"https:\/\/www.kaspersky.com.br\/blog\/chatgpt-stealer-win-client\/20797\/\" target=\"_blank\" rel=\"noopener\">isca preferida dos golpistas<\/a> entre 2024 e 2025 para a propaga\u00e7\u00e3o de malwares de roubo de dados.)<\/li>\n<li>Realizar pesquisas regulares para identificar com que frequ\u00eancia a IA est\u00e1 sendo usada e para quais tarefas. Com base em dados de telemetria e pesquisas, avalie o impacto e os riscos de seu uso para ajustar suas pol\u00edticas.<\/li>\n<\/ul>\n<h2>Restri\u00e7\u00f5es moderadas ao uso de IA<\/h2>\n<p>No uso de IA em toda a empresa, nenhum extremo (proibi\u00e7\u00e3o total ou liberdade total) provavelmente se adequa. Mais flex\u00edvel seria uma pol\u00edtica que permita diferentes n\u00edveis de acesso \u00e0 IA, de acordo com o tipo de dados utilizados. A implementa\u00e7\u00e3o integral de tal pol\u00edtica requer:<\/p>\n<ul>\n<li>Um proxy de IA especializado que, simultaneamente, limpa consultas em tempo real removendo tipos espec\u00edficos de dados confidenciais (como nomes ou IDs de clientes) e utiliza controle de acesso baseado em fun\u00e7\u00f5es para bloquear casos de uso inadequados.<\/li>\n<li>Um portal de TI de autoatendimento para que os colaboradores informem o uso de ferramentas de IA: desde modelos e servi\u00e7os b\u00e1sicos at\u00e9 aplicativos especializados e extens\u00f5es de navegador.<\/li>\n<li>Uma solu\u00e7\u00e3o (<a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/next-generation-firewall-ngfw\/\" target=\"_blank\" rel=\"noopener\">NGFW<\/a>, <a href=\"https:\/\/en.wikipedia.org\/wiki\/Cloud_access_security_broker\" target=\"_blank\" rel=\"noopener nofollow\">CASB<\/a>, <a href=\"https:\/\/encyclopedia.kaspersky.com\/glossary\/data-loss-prevention-dlp\/\" target=\"_blank\" rel=\"noopener\">DLP<\/a> ou outra) para monitoramento e controle detalhados do uso de IA no n\u00edvel de solicita\u00e7\u00f5es espec\u00edficas de cada servi\u00e7o.<\/li>\n<li>Apenas para empresas que desenvolvem software: pipelines CI\/CD modificados e ferramentas SAST\/DAST para identificar automaticamente c\u00f3digo gerado por IA e sinaliz\u00e1-lo para etapas adicionais de verifica\u00e7\u00e3o.<\/li>\n<li>Como no cen\u00e1rio sem restri\u00e7\u00e3o, treinamento regular de colaboradores, pesquisas e seguran\u00e7a robusta para dispositivos de trabalho e pessoais.<\/li>\n<\/ul>\n<p>Com os requisitos listados, \u00e9 necess\u00e1rio desenvolver uma pol\u00edtica que abranja diferentes departamentos e diversos tipos de informa\u00e7\u00e3o. Um exemplo seria o seguinte:<\/p>\n<table>\n<tbody>\n<tr>\n<td width=\"150\">Tipo de dados<\/td>\n<td width=\"150\">IA voltada para o p\u00fablico (de dispositivos pessoais e contas)<\/td>\n<td width=\"150\">Servi\u00e7o de IA externo (por meio de proxy corporativo de IA)<\/td>\n<td width=\"150\">Ferramentas de IA locais ou em nuvem confi\u00e1vel<\/td>\n<\/tr>\n<tr>\n<td width=\"150\">Dados p\u00fablicos (como textos de an\u00fancios)<\/td>\n<td width=\"150\">Permitidos (informados por meio do portal da empresa)<\/td>\n<td width=\"150\">Permitidos (registrados)<\/td>\n<td width=\"150\">Permitidos (registrados)<\/td>\n<\/tr>\n<tr>\n<td width=\"150\">Dados internos gerais (como conte\u00fado de e-mails)<\/td>\n<td width=\"150\">N\u00e3o recomendados, mas n\u00e3o bloqueados. Exigem registro\/informa\u00e7\u00e3o via portal da empresa.<\/td>\n<td width=\"150\">Permitidos (registrados)<\/td>\n<td width=\"150\">Permitidos (registrados)<\/td>\n<\/tr>\n<tr>\n<td width=\"150\">Dados confidenciais (como c\u00f3digo-fonte de aplicativos, comunica\u00e7\u00f5es jur\u00eddicas ou de RH)<\/td>\n<td width=\"150\">Bloqueados por DLP, CASB ou NGFW<\/td>\n<td width=\"150\">Aprovados para cen\u00e1rios espec\u00edficos pelo gerente (dados pessoais exclu\u00eddos; c\u00f3digo verificado automaticamente e manualmente)<\/td>\n<td width=\"150\">Permitidos (registrados, com os dados pessoais removidos conforme necess\u00e1rio)<\/td>\n<\/tr>\n<tr>\n<td width=\"150\">Dados regulamentados importantes (financeiros, m\u00e9dicos etc.)<\/td>\n<td width=\"150\">Proibidos<\/td>\n<td width=\"150\">Proibidos<\/td>\n<td width=\"150\">Permitidos com aprova\u00e7\u00e3o do diretor de Seguran\u00e7a da Informa\u00e7\u00e3o (CISO), sujeito aos requisitos regulamentares de armazenamento<\/td>\n<\/tr>\n<tr>\n<td width=\"150\">Dados altamente importantes e classificados<\/td>\n<td width=\"150\">Proibidos<\/td>\n<td width=\"150\">Proibidos<\/td>\n<td width=\"150\">Proibidos (exce\u00e7\u00f5es somente mediante aprova\u00e7\u00e3o do Conselho de Administra\u00e7\u00e3o)<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Para aplicar a pol\u00edtica, \u00e9 necess\u00e1rio um enfoque organizacional em diversas camadas, al\u00e9m de ferramentas t\u00e9cnicas. Antes de tudo, <a href=\"https:\/\/k-asap.com\/pt\/?icid=br_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder____kasap___\" target=\"_blank\" rel=\"noopener\">os colaboradores precisam ser treinados<\/a> sobre os riscos associados \u00e0 IA: desde vazamentos de dados e respostas falsas da IA at\u00e9 ataques via prompt. \u00c9 obrigat\u00f3rio que todos os colaboradores da organiza\u00e7\u00e3o realizem este treinamento.<\/p>\n<p>Ap\u00f3s o treinamento inicial, \u00e9 essencial desenvolver pol\u00edticas mais detalhadas e fornecer treinamento avan\u00e7ado para os l\u00edderes de departamento. Isso os capacitar\u00e1 a tomar decis\u00f5es informadas sobre aprovar ou negar solicita\u00e7\u00f5es de uso de dados espec\u00edficos com ferramentas de IA p\u00fablicas.<\/p>\n<p>As pol\u00edticas, crit\u00e9rios e medidas iniciais s\u00e3o apenas o ponto de partida; devem ser atualizados regularmente. Isso envolve analisar dados, aprimorar casos de uso reais de IA e monitorar as ferramentas de IA mais utilizadas. \u00c9 necess\u00e1rio um portal de TI de autoatendimento, como um ambiente sem complica\u00e7\u00f5es, onde os colaboradores possam informar quais ferramentas de IA est\u00e3o utilizando e para quais finalidades. Esse feedback valioso enriquece suas an\u00e1lises, ajuda a construir uma justificativa de neg\u00f3cio para a ado\u00e7\u00e3o de IA e fornece um modelo baseado em fun\u00e7\u00f5es para aplicar as pol\u00edticas de seguran\u00e7a adequadas.<\/p>\n<p>Por fim, \u00e9 indispens\u00e1vel um sistema em m\u00faltiplos n\u00edveis para responder a viola\u00e7\u00f5es. Etapas poss\u00edveis:<\/p>\n<ul>\n<li>Um alerta automatizado e um microtreinamento obrigat\u00f3rio relacionado \u00e0 viola\u00e7\u00e3o.<\/li>\n<li>Uma reuni\u00e3o privada entre o colaborador, o l\u00edder do seu departamento e um profissional de seguran\u00e7a da informa\u00e7\u00e3o.<\/li>\n<li>Uma suspens\u00e3o tempor\u00e1ria do uso de ferramentas com IA.<\/li>\n<li>Interven\u00e7\u00e3o disciplinar rigorosa realizada pelo RH.<\/li>\n<\/ul>\n<h2>Uma abordagem abrangente para a seguran\u00e7a de IA<\/h2>\n<p>As pol\u00edticas discutidas aqui abrangem uma gama relativamente restrita de riscos associados ao uso de solu\u00e7\u00f5es SaaS para IA generativa. Para criar uma pol\u00edtica completa que aborde todo o espectro de riscos relevantes, consulte nossas <a href=\"https:\/\/www.kaspersky.com\/blog\/ai-safe-deployment-guidelines\/52789\/\" target=\"_blank\" rel=\"noopener nofollow\">diretrizes para a implementa\u00e7\u00e3o segura de sistemas de IA<\/a>, desenvolvidas pela Kaspersky em colabora\u00e7\u00e3o com outros especialistas de confian\u00e7a.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"18242\">\n","protected":false},"excerpt":{"rendered":"<p>A maioria dos funcion\u00e1rios j\u00e1 est\u00e1 usando assinaturas pessoais de LLM para suas atividades profissionais. Como equilibrar a manuten\u00e7\u00e3o da competitividade com a preven\u00e7\u00e3o de vazamentos de dados?<\/p>\n","protected":false},"author":2722,"featured_media":24219,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1119,1655,1656],"tags":[1382,1342,3376,40],"class_list":{"0":"post-24221","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-aprendizado-de-maquina","11":"tag-ia","12":"tag-llm","13":"tag-seguranca"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/shadow-ai-3-policies\/24221\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/shadow-ai-3-policies\/29516\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/shadow-ai-3-policies\/24620\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/shadow-ai-3-policies\/12795\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/shadow-ai-3-policies\/29447\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/shadow-ai-3-policies\/28569\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/shadow-ai-3-policies\/31399\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/shadow-ai-3-policies\/30059\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/shadow-ai-3-policies\/40409\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/shadow-ai-3-policies\/13763\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/shadow-ai-3-policies\/54252\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/shadow-ai-3-policies\/23155\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/shadow-ai-3-policies\/32653\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/shadow-ai-3-policies\/29626\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/shadow-ai-3-policies\/35375\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/shadow-ai-3-policies\/35004\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.com.br\/blog\/tag\/ia\/","name":"IA"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24221","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=24221"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24221\/revisions"}],"predecessor-version":[{"id":24224,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/24221\/revisions\/24224"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/24219"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=24221"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=24221"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=24221"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}