O que é uma Política de Uso Aceitável (AUP) de IA?

Uma AI acceptable use policy (AI AUP), ou Política de Uso Aceitável de IA, é um conjunto formal de regras que define como os funcionários podem usar ferramentas e serviços de inteligência artificial (IA) generativa. 

À medida que suas equipes exploram as plataformas de IA, como o ChatGPT, entre outras, para aumentar a criatividade e a eficiência, elas também podem gerar novos riscos de forma não intencional. Sem diretrizes claras, os funcionários podem inserir propriedade intelectual confidencial, dados de clientes ou credenciais internas em modelos públicos de IA e criar uma exposição cibernética significativa para a organização.

Uma política eficaz de uso aceitável de IA cria proteções para que sua organização inove com segurança. Ela estabelece claramente o que fazer e o que não fazer, protege os ativos da empresa e cria um processo formal para examinar novas tecnologias. Uma política de usuário de IA define os usos permitidos e proibidos, descreve claramente as proteções necessárias para o manuseio de dados, quem pode acessar quais ferramentas e o processo de aprovação e integração de novas tecnologias de IA.

Uma política sólida para usuários de IA é uma parte fundamental da sua estratégia geral de segurança cibernética. É também o ponto de partida para proteger a IA em toda a sua empresa. 

Veja como a plataforma de gerenciamento de exposição Tenable One pode ajudar você a gerenciar toda a sua exposição e riscos de IA.

Uma política sólida de uso de IA é clara, abrangente e fácil de ser compreendida por todos. Ela substitui a ambiguidade por regras bem definidas que protegem os funcionários e a organização. Embora seja possível adaptar sua política ao seu setor específico e ao seu apetite de risco, você deve criar sua política de uso aceitável de IA generativa com base nesses cinco pilares essenciais.

1. Escopo e funções

Esta seção define quem e o que a apólice cobre. Ela deve indicar claramente quais funcionários, departamentos e ambientes do negócio devem seguir as regras. Também atribui responsabilidade, descrevendo os deveres dos funcionários, gerentes e da equipe de governança de IA (por exemplo, CIO, jurídico, InfoSec) para garantir a prestação de contas. Esclarecer o escopo e as funções é uma parte fundamental de qualquer política de IA para os funcionários.

2. Ferramentas autorizadas e casos de uso proibidos

Você deve manter uma lista curada de ferramentas e agentes de IA aprovados, já avaliados pelas equipes de segurança e jurídica. Essa seção também deve incluir exemplos concretos de atividades proibidas, como o uso de plataformas de IA não aprovadas ou o uso de IA para atividades ilegais, antiéticas ou que violem as normas da empresa.

3. Tratamento de dados e regras de privacidade

As regras de privacidade e tratamento de dados estão entre os componentes mais críticos da sua AI AUP. Você precisa definir explicitamente quais tipos de dados os funcionários nunca devem inserir em ferramentas públicas de IA, como informações de identificação pessoal (PII), informações de saúde protegidas (PHI), propriedade intelectual, código-fonte e dados financeiros corporativos. Forneça orientações claras de quando e como usar técnicas de mascaramento ou anonimização de dados.

4. Processo de governança e mudança

A política de uso de IA para funcionários deve evoluir na mesma velocidade das tecnologias de IA. Esta seção detalha o workflow de como os funcionários podem solicitar uma nova ferramenta de IA para análise e autorização. Também deve descrever os critérios de decisão que sua equipe de governança usará para aprovar ou recusar uma ferramenta, como protocolos de segurança de dados, política de privacidade, estabilidade do fornecedor e residência dos dados.

Principais critérios de verificação para novas ferramentas de IA

• Protocolos de segurança
  • Analise a postura de segurança do fornecedor.
  • Ele tem certificações, como SOC 2?
  • Como ele criptografa os dados em trânsito e em repouso?
  • Quais são seus processos de gerenciamento de vulnerabilidades e resposta a incidentes?
• Política de privacidade de dados
  • Entenda como o fornecedor lida com seus dados.
  • A política dele descreve explicitamente como ele apoia a conformidade com os regulamentos relevantes para sua empresa, como HIPAA, PCI DSS etc.?
  • Fundamentalmente, o fornecedor usa entradas e prompts fornecidos pelos clientes para treinar seus modelos?
  • Você pode optar por não participar?
  • Quais são as políticas de retenção de dados do fornecedor?
• Estabilidade do fornecedor
  • O mercado de IA é volátil. Pergunte à sua equipe: qual é o risco ao negócio de confiar em uma nova ferramenta de IA não testada?
  • Considere o financiamento, a reputação no mercado e a viabilidade de longo prazo do fornecedor antes de integrá-lo a workflows críticos.
• Residência de dados
  • Saiba onde o fornecedor armazena e processa seus dados geograficamente, o que é essencial para a conformidade com regulamentos como o GDPR e a CCPA.
  • Certifique-se de que os data centers do fornecedor estejam em regiões que atendam aos seus requisitos de conformidade.

5. Uso seguro

Por fim, a política deve concentrar-se nos princípios fundamentais do uso seguro da IA e atuar como uma ponte para exemplos práticos do dia a dia, em vez de prompts perigosos. Isso reforça a mensagem central de que os funcionários devem sempre verificar se o conteúdo gerado por IA é preciso e que cada membro da equipe é o responsável final pelo seu trabalho.

A política só será eficaz se seus funcionários puderem aplicá-la no seu trabalho diário. Para deixar as regras claras, forneça exemplos concretos que ilustrem comportamentos seguros e perigosos dos prompts de IA. Isso traduz princípios abstratos, como "proteger os dados da empresa", em orientações práticas para diferentes funções na organização.

Uma rápida lista de verificação do que fazer e do que não fazer com a IA

Use esta lista de verificação como ponto de partida para treinamento de funcionários e comunicações internas:

• VERIFIQUE a precisão de todo o conteúdo gerado por IA antes de usá-lo.
• USE ferramentas de IA aprovadas e testadas pela empresa para todas as tarefas relacionadas ao trabalho.
• ANONIMIZE, sempre que possível, todos os dados da empresa que usar nos prompts.
• NÃO INSIRA informações pessoais de clientes, dados de funcionários ou propriedade intelectual confidencial da empresa em ferramentas públicas de IA.
• NÃO use a IA para criar conteúdo de assédio, discriminatório ou que viole a política da empresa.
• NÃO APRESENTE conteúdo gerado por IA como seu próprio trabalho original sem a devida revisão e modificação.

Exemplos baseados em funções: prompts seguros vs. perigosos

Escolha da ferramenta de IA vs. segurança dos prompts

Os exemplos abaixo demonstram como escrever prompts seguros para ferramentas de IA públicas ou de uso geral. Porém, a solução mais importante para dados altamente confidenciais (como código-fonte, dados financeiros não públicos ou PII) não é apenas a segurança dos prompts, mas o risco de exposição dos dados.

Seus funcionários nunca devem inserir dados proprietários em uma ferramenta pública de IA.

Para esses tipos de dados, você precisa usar uma solução segura e aprovada pela empresa. Por exemplo, um LLM interno (ex.: um modelo auto-hospedado) ou uma plataforma corporativa segura (como o ChatGPT Enterprise) que garanta explicitamente que não usará seus dados para treinamento e que não possa ser acessado fora da instância da sua organização.

• Cenário para marketing
  • Prompt perigoso: "Analise esta lista anexa com os endereços de e-mail dos nossos 100 principais clientes e os dados de vendas do terceiro trimestre para identificar novas ideias de campanhas de marketing."
  • Prompt seguro: "Nossa empresa vende software como serviço (SaaS) de segurança cibernética para gerentes de TI do setor de serviços financeiros. Com base em informações públicas, sugira três ideias de campanhas de marketing que atraiam esse público."
• Cenário para RH
  • Prompt perigoso: "Analise o currículo anexo de Maria da Silva e os dados da avaliação de desempenho dela para escrever a descrição de cargo de uma função semelhante."
  • Prompt seguro: "Escreva uma descrição de cargo para um engenheiro de software sênior. A função requer cinco anos de experiência com Java, conhecimentos em segurança da nuvem e fortes habilidades de comunicação. A posição é remota."

Uma política de uso aceitável abrangente para IA guia o comportamento dos usuários, mas é apenas a primeira metade da equação. 

Sua política também deve se conectar à sua estratégia mais ampla de segurança para IA: as medidas técnicas que você usa para proteger os modelos de IA e a própria infraestrutura. 

Essa abordagem garante que você gerencie de forma holística os riscos baseados em pessoas e tecnologias. Ao fazer referência a padrões técnicos de segurança na sua política, você alinha toda a sua organização em torno de um conjunto comum de metas para a adoção segura da IA.

Como lidar com os principais riscos de segurança de IA

Sua política de uso aceitável de IA deve reconhecer as vulnerabilidades técnicas subjacentes inerentes aos sistemas de IA. 

O OWASP Top 10 for LLMs é uma excelente estrutura para entender essas ameaças atuais. No entanto, à medida que a IA evolui de modelos simples para sistemas "agênticos" autônomos (ou agentes de IA), o novo projeto OWASP Agentic AI Security está se tornando a norma crítica para riscos futuros.

Riscos como injeção de prompt, vazamento de dados e tratamento perigoso dos resultados podem expor sua organização a ataques, mesmo que os funcionários sigam as regras. Sua política deve declarar que sua organização precisa examinar esses riscos de segurança de IA conhecidos e emergentes em todas as novas ferramentas.

O gerenciamento eficaz desses riscos requer visibilidade de como sua organização usa a IA e onde ela cria possíveis exposições. Soluções como o Tenable AI Exposure podem ajudar você a descobrir e avaliar o uso de sistemas de IA no seu ambiente, de modo que você tenha insights para aplicar sua política de uso de IA e proteger sua infraestrutura.

Colocar sua política de uso de IA em prática requer um esforço multifuncional para garantir que as regras sejam viáveis, bem compreendidas e tenham uma aplicação consistente. 

Siga este processo de quatro etapas para criar e implementar uma política de uso aceitável de IA eficaz para sua organização.

Etapa 1: Monte sua equipe de governança de IA

Primeiro, identifique as principais partes interessadas que serão responsáveis pela sua política de uso aceitável de IA. Normalmente, essa equipe é uma parceria entre TI/segurança, departamento jurídico, RH e representantes das principais unidades de negócios. 

Esse grupo será responsável por elaborar a política, examinar novas ferramentas e lidar com exceções. 

Designar um ponto de contato claro é fundamental para os funcionários que têm dúvidas ou precisam enviar uma nova ferramenta para análise.

Etapa 2: Elabore a política de IA usando este guia

Usando os elementos essenciais descritos acima, elabore uma versão inicial da política de uso de IA. O objetivo é ser claro e direto e evitar jargões excessivamente técnicos que possam confundir funcionários leigos. 

Evitar aspectos muito técnicos é uma boa orientação de como escrever uma política de IA que as pessoas realmente leiam. O foco em fornecer orientações práticas ajuda suas equipes a tomar decisões inteligentes ao usar a IA.

Etapa 3: Estabeleça o novo processo de solicitação de ferramentas de IA

Defina e documente o processo formal de como um funcionário pode solicitar uma nova ferramenta de IA. Esse workflow deve indicar claramente de quais informações sua equipe de análise precisa para um envio (ex.: a finalidade da ferramenta, seu fornecedor e um link para suas políticas de segurança e privacidade) e qual é o acordo de nível de serviço (SLA) para obter uma decisão da equipe de governança.

Por exemplo, seu processo poderia envolver:

• Envie um tíquete por meio de seu portal de serviços de TI padrão com uma categoria especial "Análise de ferramentas de IA".
• Preencha um formulário padronizado na sua Intranet que capture todas as informações necessárias para a equipe de governança.
• Envie um e-mail para um alias dedicado, como [email protected].

Etapa 4: Comunique-se e oriente seus funcionários

Depois de finalizar sua política, apresente-a a todos. Conduza sessões de treinamento, publique-a onde as pessoas realmente vejam (não só jogada em uma pasta da Intranet) e organize para que seus funcionários assinem ciência da política de uso de IA. O verdadeiro truque é mantê-la sempre relevante e interessante.

Deseja se aprofundar em segurança da IA? Confira o blog da Tenable.

Garantir o patrocínio executivo é crítico, pois dá autoridade à sua política de uso de IA e assegura que a aplicação seja uma prioridade em toda a empresa. Você deve estruturar a política de IA como uma facilitadora estratégica, não como uma restrição. 

Uma política clara para o uso da IA pelos funcionários acelera a adoção segura da IA, substituindo a incerteza por uma estrutura clara de ação. Ela elimina as suposições dos funcionários e oferece uma via aprovada para inovar de forma produtiva e confiante. 

Uma AI AUP bem definida reduz diretamente o risco ao:

• Prevenir vazamento de propriedade intelectual em modelos públicos;
• Estabelecer uma responsabilidade clara;
• Garantir o exame completo das ferramentas de IA em busca de ameaças à segurança e à privacidade antes que seus funcionários as utilizem livremente.

Obter visibilidade total é o primeiro passo. 

A plataforma de gerenciamento de exposição Tenable One oferece à sua organização uma visão unificada de toda a superfície de ataque, incluindo os riscos de novas tecnologias, como a IA. 

A aplicação da sua política começa com o conhecimento do que existe no seu ambiente. A Tenable ajuda você a descobrir essas ferramentas e agentes de shadow AI. Produtos como o Tenable AI Aware incluem plug-ins que detectam a presença de ferramentas conhecidas de IA e LLM para que você tenha visibilidade para aplicar sua política. 

Tenable Research team also actively discovers and discloses exposures in third-party AI software to help secure your entire ecosystem.

Existem muitas perguntas não respondidas sobre IA, especialmente em relação às políticas de uso aceitável. Compilamos para você algumas das perguntas mais frequentes, com o objetivo de respondê-las com clareza para que você possa estabelecer suas próprias perguntas.

1. Qual é a finalidade de uma política de uso aceitável de IA?

A principal finalidade de uma AI acceptable use policy, ou política de uso aceitável de IA, é a mitigação de riscos à segurança e à privacidade dos dados. Ela impede que os funcionários insiram dados confidenciais da empresa, propriedade intelectual ou PII dos clientes em modelos públicos de IA para diminuir a exposição da sua organização à perda de dados.

2. Quem é responsável por criar uma política de uso aceitável de IA?

A criação de uma política de uso de IA costuma ser uma iniciativa colaborativa liderada por uma equipe de governança que inclui representantes de TI/segurança, departamento jurídico e recursos humanos, com contribuições dos principais departamentos do negócio.

3. Qual é a diferença entre uma política de uso aceitável de IA e uma política geral de uso aceitável de TI?

Enquanto uma política geral de TI abrange o amplo uso da tecnologia (e-mail, Internet, software), uma política específica de IA aborda os riscos exclusivos da IA generativa, como preocupações com a privacidade dos dados ao inserir os prompts, vazamento de propriedade intelectual e geração de informações equivocadas ou tendenciosas.

Uma política abrangente de uso de IA ajuda sua organização a avançar rapidamente a adoção da IA sem causar nenhum problema. Ela fornece às suas equipes as proteções de que precisam para fazer experimentos com segurança, mantém as joias da coroa protegidas e define uma estrutura de governança de IA que realmente escale.

Você pode usar a estrutura e a lista de verificação deste guia como componentes centrais para criar seu próprio modelo de AI acceptable use policy, ou política de uso aceitável de IA. Inclua, por exemplo:

• Escopo e responsabilidades da política — Define claramente quem e o que a política de uso de IA abrange e atribui responsabilidade.
• Ferramentas de IA aprovadas e restrições de uso — Lista todas as tecnologias de IA aprovadas pela empresa e descreve como os funcionários devem e não devem usar a IA.
• Padrões de proteção de dados e privacidade — Cria regras claras que explicam como lidar com informações sensíveis e confidenciais.
• Diretrizes para uso seguro e responsável — Oferece recomendações práticas e exemplos para interações cotidianas com a IA.
• Governança e processo de verificação de novas ferramentas — Descreve o procedimento formal para revisar e aprovar novas aplicações de IA.

Ao transformar essas diretrizes em políticas e práticas consistentes, você transforma seus riscos de IA em capacitadores do negócio que são uma parte essencial da sua cultura de segurança.

Leia o guia: IA para segurança vs. segurança para IA