O título desse texto foi a frase que ouvi e mais me marcou num grande evento de cibersegurança que participei recentemente, em que tive a oportunidade de passar uma noite, um dia inteiro e mais uma noite ouvindo, discutindo e refletindo sobre inteligência artificial.
Havia muitos especialistas, muitos líderes de empresas que já estão usando a IA de forma inteligente, porém, mais ainda, havia centenas de profissionais sedentos de esclarecimento, de insights, de troca de ideias e de uma coisa que ninguém vai poder oferecer: a bala de prata da IA. Não pode oferecer porque ela, simplesmente, não existe.
O que se pode fazer, então? Definir a governança da IA – como usar, por que usar e qual usar de acordo com os pilares da estratégia adotada na organização.
Já vimos esse filme antes?
Há cinco anos, quando a Lei Geral de Proteção de Dados Pessoais entrou em vigor, a maior parte das empresas que começaram a se mexer para atender à Lei procuravam o mesmo que se busca agora com a IA, uma solução rápida, de baixo custo e indolor. Só que, naquele caso, a necessidade era de compliance com a legislação, agora as necessidades variam tanto quanto as soluções que a IA oferece.
E aí então vem um dos riscos que a IA trouxe e que toda novidade de mercado traz, que são os mágicos, os salvadores da pátria, aqueles que oferecem as soluções sem sequer conhecer o negócio. Oferecem desde ferramentas a treinamentos rápidos, geralmente caríssimos e com a promessa de que tudo se resolverá quando terminar o projeto.
Mas o que se demonstrou naquele prestigiado fórum foi que o uso da IA só terá valor e será seguro quando a empresa conhecer a sua própria (e tão repetida) tríade de pessoas, processos e tecnologia.
Da popularidade ao temor
A IA chegou à conversa no café da empresa quando a inteligência artificial generativa, a IAGen, começou a facilitar a vida das pessoas por meio dos textos elaborados com (suposta) fluência, revisados com agilidade, as imagens que se materializam como nos pensamentos, as respostas que vêm rápidas e certeiras – será? Isso tudo há pouco mais de dois anos.
Passado o primeiro momento de euforia (“não acredito que você ainda quebra a cabeça redigindo textos! Põe a IA para trabalhar para você!”), começaram a surgir as preocupações com o emprego (“empresa substitui 100% do ativo humano por IA no N1”), o medo com os dados que a IA usa para ser treinada, os erros visíveis e punidos (no Brasil, Justiça rejeitou recurso de defesa elaborado com inteligência artificial que inventou 43 jurisprudências inexistentes) e os milhares de ataques cibernéticos criados diariamente por IA.
E então as pessoas passaram a temer a IA quando, finalmente, caíram na rede imagens e notícias de IA agêntica tomando decisões não humanas, mostrando que a IA tem, sim, vontade própria e toma decisões e atitudes que, muitas vezes, contrariam o comando dado.
Governança deve orientar
Por fim, o ponto que ficou muito claro para mim naquele encontro é que a IA não é para se temer, é para saber usar, para ser gerida como um recurso que pode ajudar os negócios de forma estratégica e inovadora, desde que atenda a uma política específica e seja gerenciada com transparência e responsabilidade.
A governança deve ser orientativa, é necessário que as empresas tenham as suas políticas de uso de IA, porque o usuário vai usar e já está usando, isso é fato, mas é fundamental que se dê a esse usuário um direcionamento. Essa política deve ser compreensível porque, se não for, será burlada e os colaboradores não vão deixar de usar a IA porque não entenderam a política, simplesmente vão usá-la sem compreender os riscos.
É urgente, para ontem, mudar a cultura de Segurança da Informação das empresas e transformar as pessoas na primeira barreira dos vetores de ataque.
Se a área de TI está cumprindo o seu papel, está atuando com firewall, DLP e pentests frequentes, está monitorando e mitigando os riscos cibernéticos, quem está gerenciando o risco humano na sua empresa? Quem está mapeando, modelando e otimizando os processos para que sejam sustentados pela IA?
Devemos pensar na IA como aliada ao desenvolvimento organizacional com toda a bagagem que ela exige para a manutenção de um ecossistema seguro – com a confidencialidade, a integridade e a disponibilidade como vetores transversais dentro da organização.
