Governança de IA: o que é e como fortalece a cibersegurança

Helena Motta
20 de maio de 2025

Nos últimos anos, o crescimento do uso e da aplicabilidade de Inteligências Artificiais no mundo corporativo deu um grande salto. Longe do que o senso comum supõe, essa não é uma realidade somente na área de tecnologia, já que essas ferramentas têm encontrado cada vez mais espaço em setores como o da educação e saúde ou até mesmo de indústria e comércio.  


Como reflexo desse avanço acelerado, o Brasil é hoje um dos países mais vulneráveis do mundo quanto o assunto é o uso de IAs no ambiente empresarial, ficando atrás somente dos Estados Unidos. Segundo o NIST (National Institute of Standards and Technology) dos Estados Unidos, 54% dos líderes de Segurança entrevistados no Brasil durante o Global Cybersecurity Leadership Insights em2024 veem no aumento de superfícies de ataques um grande risco do uso de ferramentas de inteligência artificial. 


Diante desse cenário, é essencial que as empresas elaborem um programa de governança de IA para evitar incidentes que podem ser devastadores para a imagem e para a saúde financeira da instituição. No artigo de hoje, destrincharemos esse tema abordando principalmente os seguintes tópicos: 


  • O que é Governança de IA? 
  • Por que investir em Governança de IA é essencial atualmente? 
  • Como essa estratégia pode fortalecer a segurança das empresas? 
  • Boas práticas na implementação destas políticas 

O que é Governança de Inteligência Artificial? 

A uso das Inteligências Artificiais no trabalho pode otimizar milhares de atividades do dia a dia dos trabalhadores: encurtando tempo de análises de dados e planilhas, fornecendo modelos textuais que serão usados para apresentações, auxiliando no brainstorm, na resolução de problemas práticos e muitos outros. Porém, ele traz também muitas vulnerabilidades que muitas vezes são menosprezadas. 


Falamos de vazamento de dados sensíveis de clientes e da própria empresa, ataques que a usam como auxiliar e que tem objetivo de descobrir senhas através da tentativa exaustiva de possibilidades e até mesmo em formas elaboradas de phishing através do Processamento de Linguagem Natural. Neste último exemplo, a inteligência artificial é usada para elaborar tentativas de ataques que emulem o estilo de escrita e até mesmo da voz de pessoas próximas à vítima. Casos assim vêm sendo reportados com frequência tanto em ataques entre pessoas quanto envolvendo grandes corporações e tem um enorme potencial destrutivo. Por essas e muitas outras razões, a Governança de IA se faz necessária. Mas afinal, o que é esse conceito? 


A Governança de Inteligência Artificial é um conjunto de políticas, processos, estruturas e práticas que tem como objetivo garantir o uso de tecnologias baseadas em IA de forma segura, responsável, ética, transparente e aliada aos objetivos organizacionais e regulatórios. É através dela que são estabelecidas normas e diretrizes sobre como os sistemas de IA podem e devem ser desenvolvidos, treinados, validados e continuamente monitorados. 


Para isso, é necessário levar em consideração aspectos como: privacidade de dados, vieses algorítmicos, riscos cibernéticos, normas regulatórias e padrões de uso. Isso acontece porque do ponto de vista da Cibersegurança, essas ferramentas podem se tornar fatores de risco de ataque, manipulação e vazamento de dados sensíveis caso não sejam devidamente protegidos e regulados.  Implementar essas políticas de governança é garantir que os princípios da segurança da informação sejam devidamente seguidos. 


O investimento de tempo e esforço na criação dessas políticas é reconhecido pela maioria dos líderes de segurança. É possível ver isso no fato de que segundo o relatório "Governança e Ética da IA nas Companhias Abertas" publicado pela Abrasca, cerca de 78% das empresas que foram entrevistadas afirmam que há a necessidade de criação de uma estrutura formal de governança de IA. Ainda assim, destas somente 23% afirmam possuir diretrizes e práticas estabelecidas internamente.   


Além disso, há também um receio até mesmo em permitir o uso de ferramentas de Inteligência Artificial nas empresas. Cerca de 80%dos líderes veem a necessidade de estabelecer regras e políticas de regulação para o uso ético e confiável de IAs como um obstáculo para permitir o acesso a elas. Incidentes como o do Chatbot Tay em 2016, que em menos de 24 horas de liberação na internet passou a reproduzir vieses preconceituosos e anti-éticos ainda hoje estão no imaginário popular e criam resistência para a adoção de tais recursos no dia a dia empresarial. 

Por que a Governança de IA é essencial na era digital? 

Para evitar riscos como os relatados no tópico anterior, é fundamental que a Governança de IA estabelecida pelas empresas reforcem o compromisso ético na integração das Inteligências Artificiais em suas operações. Alinhar esses valores com os próprios objetivos das empresas acaba se tornando uma vantagem competitiva. Isso acontece porque a transparência sobre tais usos seguros ajuda a criar um legado de confiança e responsabilidade por parte da empresa. 


Além disso, fixar tais regras também auxilia na rastreabilidade e na auditabilidade de seu uso, o que a longo prazo torna a chance de incidentes muito menos e identificável. Esses pontos também auxiliam na conformidade com as regulações e legislações existentes no Brasil quanto ao uso desses cursos tecnológicos, o que evita penalizações e prejuízo. Hoje, incidentes que firam a Lei Geral de Proteção de Dados (LGPD) que entrou em vigor em 2020 podem gerar multas de até 2% do faturamento anual da empresa. Esse valor pode chegar em até R$ 50 milhões por infração e contar também com implicações administrativas e judiciais. 


A penalização de violações da legislação sobre segurança dos dados está longe de ser uma preocupação somente no Brasil: 


  •  Na União Europeia, a Lei de IA estabelece que incidentes do tipo podem acarretar multas que vão desde 1,5% do faturamento atual até os 7%! Ela adota uma regulamentação baseada em riscos em que há regras diferentes para cada nível. Além disso, ela proíbe totalmente certos usos de IA e estabelece requisitos bem rigorosos de governança, transparência e gestão de riscos.  
  • Nos Estados Unidos, a SR-11-7 é uma norma regulatória que tem uma grande eficácia no setor bancário. Isso acontece porque ela exige que os funcionários dos bancos apliquem gerenciamentos de riscos e mantenham um inventário do que pode ser usado, o que está em desenvolvimento ou o que foi recém-removido. Além disso, é necessário deixar claro se os modelos de IA estão atingindo os objetivos que levaram à sua criação. 
  • No Canadá, a Directive on Automated Decision-Making do Canadá detalha de que formas o governo pode utilizar as IAs. Para isso, são utilizados: um sistema de pontuação para avaliar o envolvimento humano, a avaliação de pares, o monitoramento e também as ações de contingência que permitam que tais ferramentas atendam aos interesses dos cidadãos.   
  • Na China, medidas provisórias para a regulação e administração de IAs generativas foram estabelecidas em 2023. Ela determina que o fornecimento de dados e o uso de tais tecnologias devem respeitas os direitos e interesses da população. Além disso, não podem gerar riscos a integridade mental e física do povo, seus direitos de retrato, reputação, honra, privacidade e informações pessoais. 


Outros problemas causados às empresas em casos como os citados acima são a danificação da imagem e da confiança frente a clientes, investidores e parceiros. A ausência de tais controles também acaba impactando em problemas internos como a dificuldade na identificação e correção das falhas, que podem gerar mais prejuízos financeiros, vazamento de informações internas sensíveis, credenciais e até mesmo a paralização das atividades. 


Por essas razões, é possível ver como a preocupação com o estabelecimento de uma Governança de Inteligência Artificial forte é fundamental para o bom funcionamento de empresas de todos os setores.  

Como a Governança de IA fortalece a Cibersegurança

Para a criação dos parâmetros necessários para nortear a criação de uma governança exclusiva para o uso de IAs é possível utilizar inclusive frameworks já existentes na instituição para Cibersegurança de modo geral. Isso acontece porque a essa iniciativa de controle do uso de IAs também promove uma série de benefícios diretamente relacionados ao fortalecimento da segurança nas empresas. 


Sem essas definições é possível que surjam os tais vieses citados anteriormente, além de um aumentado risco de invasões, ataques de phishing e engenharia social e diversos outros problemas. Isso faz com que seja necessário o estabelecimento de uma equipe multidisciplinar para identificar possíveis pontos de atenção e vulnerabilidade e a partir deles construir a estrutura da empresa. 


Porém, a utilização de tecnologias que integram em suas funções as inteligências artificiais pode ser a maior aliada dos times de tecnologia e segurança. O uso destas soluções integradas promove o monitoramento contínuo fundamentado em machine learning para identificar padrões de comportamento em seus usuários, gerando assim a automatização de respostas em caso de violações do comportamento normal. 


Isso acontece porque ferramentas fortalecidas com uso de IA tem uma capacidade de processamento de dados altíssima e a partir da análise deles, ela se torna capaz de identificar possíveis ameaças oriundas dessas mudanças de comportamento, evitar tentativas de invasões e roubo de credenciais privilegiadas e responder adequadamente em cada caso.   


Essa abordagem beneficia os times internos, uma vez que otimiza o trabalho excluindo da rotina tarefas repetitivas, dando mais tempo para ações estratégias e reduzindo em até 50% o tempo de resposta. Além, é claro, de garantir que esse monitoramento e as respostas sejam em tempo real. O resultado disso é uma segurança empresarial proativa e não reativa, o que é essencial para o bom funcionamento da operação. 


Em um cenário mundial de aumento das vulnerabilidades por conta do crescente uso de aplicações em nuvem, do trabalho remoto e das VPNs, há um aumento considerável do número de portas de entrada para riscos. Por isso, é papel dos líderes de segurança garantir a adoção das melhores estratégias para lidar com contratempos e criminosos digitais.  

Por essa razão, a adoção de uma segurança aliada à IAs acaba gerado uma vantagem competitiva que pode trazer ganhos entre 15% e 40% quando analisamos os benefícios. Estamos falando da redução drástica de tempo de resposta a incidentes, da identificação de assinaturas de ataques, da identificação de comportamentos anômalos por algoritmo dos Sistemas de Detecção de Intrusão (IDS) e da visibilidade aumentada da superfície de ataque disponível. 


Outro ponto interessante de ser levado em consideração é que a cibersegurança tradicional que conhecemos é fundamentada em assinaturas e regras pré-definidas. Isso significa que para aprender a identificar ataques, ela utiliza o histórico conhecido de eventos, o que faz com que ela reconheça somente se ela já tiver sido identificada anteriormente. Aliar o uso de IAs nesse processo promove a identificação possíveis ataques inéditos antes de seu surgimento, o que garante proteção contra ameaças Zero Day e também reduz o número de falsos positivos. 

Boas práticas para implementar Governança de IA em cibersegurança

Para apostar na criação de uma Governança de IA em cibersegurança é fundamental estabelecer um planejamento estratégico interdisciplinar. Para isso, devem ser aliados os conhecimentos de tecnologia, segurança, compliance e outras áreas que lidem com aspectos das políticas a serem definidas. Essa força tarefa é importante para garantir que o combo “monitoramento + auditoria + regulamentação” seja aplicado de forma transparente e segura. 

Esse comitê será responsável pela criação dos padrões e boas práticas e é essencial que a partir disso também sejam estabelecidos programas de treinamento interno para todos os colaboradores. Essa é uma medida que visa assegurar que as políticas definidas sejam seguidas de maneira correta e que todos consigam entender como seguir o novo planejamento. 

 


A ideia é criar o passo a passo tendo em mente a inovação responsável e a sustentabilidade digital.  Antes de partir para a prática, é necessário definir que tipo de governança mais se alia com os objetivos e frameworks da empresa. Elas podem ser: 

 


  • Governança Informal: Essa é a menos intensiva, em que são estruturados processos informais com os comitês de ética e de segurança internos. Isso significa que as práticas definidas não são documentadas ou institucionalizadas. A cultura da empresa pode favorecer tais ações através da implementação de alguns processos e dos treinamentos de conscientização, mas sem o compromisso de manter a constância e a melhoria contínua. Ela é comum em empresas pequenas ou em crescimento em que não há a estrutura necessária para estabelecer uma governança mais robusta. Isso significa que pode retardar a resposta a incidentes e não atingir complexidades legais exigidas dependendo do setor; 


  • Governança Ad Hoc: É uma postura mais reativa e fragmentada, que só entra em ação caso uma ameaça ou incidente aconteçam. Como não há uma estrutura definida, as decisões e ações são tomadas a cada caso e dependem da urgência e do julgamento do colaborador responsável. É a forma mais arriscada de lidar com riscos do tipo, já que não há padronização ou planejamento.  Ela dificulta também o aprendizado dos times e a capacidade de prevenção e recuperação em casos de ameaças mais sofisticadas; 


  • Governança Formal: Aqui falamos de uma postura que conta com a estruturação, documentação e institucionalização de políticas e procedimentos claros. Essa abordagem conta com o alinhamento a frameworks específicos, um comitê de segurança da informação e compliance, auditorias periódicas e métricas de desempenho. A robustez dessa estrutura faz com que as empresas estejam preparadas para lidar com ameaças e possam responder com segurança à órgãos reguladores; 


Definida a abordagem que será seguida pela empresa, recomendamos 5 etapas que devem nortear a construção do processo interno: 


  1. Avaliação da Infraestrutura: Analisar quais são as ferramentas já existentes e quais as necessidades que forças que elas fornecem à empresa. O objetivo aqui é encontrar possíveis vulnerabilidades a serem corrigidas na infraestrutura da empresa; 
  2. Escolha de ferramentas: Com base no observado no primeiro ponto, chega a hora de conhecer e escolher as ferramentas que serão aplicadas na instituição para possibilitar a implementação da nova governança; 
  3. Capacitação da equipe: A partir desse momento deverão ser feitas ações de conscientização, treinamento e capacitação das equipes internas não somente no uso das ferramentas necessárias para cada um, mas também nas políticas e boas práticas definidas anteriormente. Todos devem ser capazes de seguir o framework definido, não importa sua posição 
  4. Implementação gradual: Para evitar a exposição à riscos durante o processo de transição para a nova postura, é essencial que essa implementação seja feita de forma planejada e gradual. Assim, é possível ficar atento a possíveis riscos e gaps que não tenham sido mapeados anteriormente. 
  5. Monitoramento e ajuste contínuo: Uma vez implementada a nova governança de IA, o objetivo agora é manter o monitoramento e os ajustes necessários conformem forem surgindo novas necessidades e ameaças.  

Dicas Extras

  • Aposte em soluções que forneçam um dashboard visual que possibilite uma avaliação clara e rápido; 
  • Estabeleça um sistema de pontuação de riscos para seguir de acordo com o comportamento dos usuários; 
  • Monitore constantemente as ferramentas usadas para identificar possíveis vieses prejudiciais, desvio e a eficácia do desempenho; 
  • Estabeleça também alertas de desempenho quando houver um desvio dos parâmetros estabelecidos; 
  • Formalize trilhas de auditoria que tenham um acesso fácil para responsabilização; 
  • Verifique a compatibilidade das ferramentas escolhidas e privilegie aquelas que são integradas facilmente com a infraestrutura existente. 

Conclusão

Ao longo deste artigo compreendemos o cenário mundial e brasileiro quanto a adesão de ferramentas de inteligência artificial no ambiente corporativo e os riscos que isso traz. A partir dessa análise compreendemos como e porque a governança de IA se faz necessária nesse momento e quais as decisões estão sendo tomadas ao redor do mundo para regulamentar seu uso.  


Compreendemos também como essa abordagem de governança pode ser usada para fortalecer a cibersegurança e como o próprio uso de soluções integradas às inteligências artificiais pode ser seu melhor aliado nessa estratégia. Levando isso em conta, trabalhamos o passo a passo e as boas práticas a serem consideradas antes da implementação das novas políticas.  


Espero que com essas informações você possa avaliar como está estruturada sua política de governança e segurança hoje e tome as melhores decisões para o seu cenário com tranquilidade. Se precisar de ajuda nesse processo, conte com os especialistas da Contacta!

Pharming: o que é e como se proteger dessa ameaça

Por Bruna Gomes 6 de maio de 2025
Quando o assunto é golpe digital, a maioria das pessoas já ouviu falar de phishing, vírus e ataques a senhas. Mas existe um tipo de ameaça mais silenciosa e menos conhecida que pode colocar em risco dados pessoais e informações importantes da sua empresa, mesmo quando tudo parece normal: o pharming. Esse tipo de ataque é sorrateiro. Ele não depende de um clique errado ou de um e-mail suspeito. Na verdade, ele pode acontecer mesmo quando você digita o endereço certo de um site confiável. E justamente por isso ele é tão perigoso.  Neste artigo, você vai entender o que é o pharming, como ele funciona, quais riscos ele representa para usuários e empresas, e, o mais importante, o que fazer para se proteger. Continue a leitura!

Consolidação na Cibersegurança: Como centralizar sua estrutura pode potencializar a segurança

Por Helena Motta 24 de abril de 2025
A Consolidação da Cibersegurança é uma resposta às necessidades de estruturação e modernização dos ambientes de segurança empresariais e que tem como objetivo reduzir o número de soluções e fornecedores contratados, ao mesmo tempo em que se garante a robustez da proteção. Através dessa abordagem, é possível eliminar brechas que surgem da sobreposição de ferramentas e integrar o ambiente de forma completa, garantindo assim maior eficiência e aproveitamento de recursos. No artigo de hoje vamos discutir como essa é uma tendência oportuna em um momento de evolução altamente acelerada dos ataques a empresas e com grande risco de perdas econômicas por paralização das atividades ou vazamento de dados. Veremos também os benefícios da adoção dessa estratégia e os pontos de atenção para implementá-la adequadamente, além de um guia para essa execução na sua empresa.

FinOps: o que é e por que ela é fundamental para a sua estratégia em nuvem?

Por André Pino 8 de abril de 2025
Se a sua empresa já usa a nuvem ou está pensando em migrar, provavelmente já se deparou com dúvidas sobre como controlar os custos e manter tudo funcionando de forma eficiente. Nesse artigo vamos te explicar de forma simples e direta o que é FinOps e porque essa prática tem ganhado tanto espaço nas empresas que querem usar a nuvem de forma mais estratégica. Boa leitura!

XDR: a nova era da detecção e resposta a ameaças cibernéticas

Por Bruna Gomes 25 de março de 2025
Nos últimos anos, a transformação digital acelerada e o crescimento dos ambientes híbridos trouxeram novas oportunidades, mas também novos riscos. As ameaças cibernéticas estão mais sofisticadas, persistentes e coordenadas, explorando vulnerabilidades em diversos pontos da infraestrutura corporativa ao mesmo tempo. Para os profissionais de TI e cibersegurança, isso significa lidar com uma superfície de ataque cada vez maior, além de um volume crescente de alertas, dados desconexos e pressões por respostas rápidas. Soluções tradicionais, como antivírus, firewalls e até mesmo ferramentas de EDR e SIEM, já não são suficientes para dar conta da complexidade atual. É nesse cenário que surge o XDR (Extended Detection and Response) uma abordagem moderna que integra, correlaciona e automatiza a detecção e resposta a ameaças de forma coordenada, em tempo real.  Neste artigo, vamos explorar como o XDR funciona, quais os seus principais benefícios e como ele pode ser o próximo passo estratégico para empresas que buscam proteção inteligente, integrada e eficaz. Continue a leitura!
Anatomia de um ataque

Anatomia de um ataque cibernético: como a Contacta respondeu a uma ameaça real

Por Bruna Gomes 11 de março de 2025
As ameaças cibernéticas são uma realidade constante, evoluindo em complexidade e sofisticação. Empresas de todos os portes são alvos potenciais, e um único ataque bem-sucedido pode comprometer dados sensíveis, interromper operações e gerar prejuízos irreparáveis.

Por que diversificar os provedores de segurança?

Por Bruna Gomes 19 de fevereiro de 2025
No mundo digital de hoje, no qual as ameaças cibernéticas evoluem constantemente, confiar em um único provedor de segurança pode deixar as organizações vulneráveis e limitar sua capacidade de responder a ataques complexos. A diversificação de provedores de segurança pode ser uma estratégia essencial, não apenas para fortalecer a defesa contra essas ameaças, mas também para adaptar-se rapidamente às mudanças tecnológicas e regulatórias. Com o aumento da complexidade das infraestruturas de TI e a crescente sofisticação dos cibercriminosos, colocar todos os recursos de segurança nas mãos de um único fornecedor é uma aposta arriscada. Diversificar os provedores de segurança permite às empresas explorarem especializações variadas, garantir a continuidade dos serviços e reduzir a dependência de uma única fonte de proteção, o que pode ser crucial em momentos de crise. Neste artigo, exploraremos por que diversificar os provedores de segurança é boa estratégia. Continue a leitura!
os perigos do uso de IA no processo de desenvolvimento de aplicações

Conheça os perigos do uso de IA no processo de desenvolvimento de aplicações

Por Bruna Gomes 5 de fevereiro de 2025
No cenário atual, o uso da Inteligência Artificial no desenvolvimento de aplicações tem se tornado cada vez mais comum, prometendo inovação e eficiência. No entanto, essa tecnologia também traz à tona uma série de perigos que precisam ser urgentemente discutidos. Os algoritmos de IA, frequentemente complexos e pouco transparentes, enfrentam riscos de ataques cibernéticos e exploração maliciosa. Além disso, sua capacidade de processar grandes volumes de dados levanta sérias preocupações sobre privacidade e conformidade com regulamentos de proteção de dados.  No artigo de hoje, vamos explorar os principais perigos associados ao uso da IA no desenvolvimento de aplicações e como as empresas podem adotar práticas seguras para mitigar esses riscos.
Monitoramento de segurança

Monitoramento de segurança: qual a importância para a sua empresa

22 de janeiro de 2025
Em um mundo cada vez mais conectado, a segurança das informações e ativos digitais se tornou uma prioridade indiscutível para empresas de todos os tamanhos. Em especial, devido ao aumento de ameaças cibernéticas e violações de dados que observamos nos últimos anos, a capacidade de identificar e responder rapidamente a incidentes de segurança é vital. Nesse cenário, soluções de monitoramento de segurança é implementado não apenas como uma medida protetiva, mas uma estratégia essencial que pode determinar o sucesso ou fracasso de um negócio. No post de hoje, vamos explorar a importância do monitoramento de segurança, como ele pode proteger sua empresa e as melhores práticas para implementá-lo de forma eficaz.
Cibersegurança na construção civil

Cibersegurança na construção civil

Por Bruna Gomes 7 de janeiro de 2025
No setor da construção civil, os desafios vão além das complexidades físicas das obras.
Retrospectiva 2024: os destaques da jornada da Contacta

Retrospectiva 2024: os destaques da jornada da Contacta

Por Bruna Gomes 24 de dezembro de 2024
Na Contacta, 2024 foi um ano repleto de inovações, aprendizados e crescimento contínuo. De artigos sobre cibersegurança a eventos que nos conectaram com líderes do setor, cada iniciativa fortaleceu nosso compromisso com a excelência e a segurança digital.  Neste artigo, faremos uma retrospectiva dos nossos principais momentos do ano: os artigos que publicamos, os eventos que organizamos e participamos, e os insights compartilhados pelos nossos especialistas na série ConTALKta. Isso reforça nossa dedicação em oferecer o melhor para nossos clientes e parceiros. Confira!
Mais Posts