IA & Governanca Algoritmica

Shadow AI na LATAM: 73% das organizações certificadas operam IA sem controle

public

O levantamento realizado em 140 organizações com certificação ISO 27001 ativa na Argentina, Brasil, Colômbia, México e Peru determinou que 73% delas possuem ao menos uma ferramenta de IA generativa em uso operativo sem aprovação formal da área de segurança. Os departamentos com maior adoção não autorizada são Marketing (89%), Recursos Humanos (71%) e Finanças (54%). As ferramentas mais frequentes são ChatGPT (uso direto sem API corporativa), Copilot sem licença gerenciada e automações com modelos de linguagem integrados em planilhas. 61% dos controles do Anexo A da ISO 27001:2022 relacionados a gestão de ativos e controle de acesso mostraram-se insuficientes para detectar essas ferramentas porque não contemplam ativos de IA como categoria. Foram identificados 4 vetores principais de vazamento de dados: prompts com dados confidenciais de clientes (42%), upload de documentos internos em plataformas de IA públicas (38%), uso de IA para gerar código com dados sensíveis embutidos (12%) e automações que enviam dados a APIs externas sem registro (8%). O modelo de remediação desenvolvido classifica o Shadow AI em três níveis de risco e propõe controles compatíveis com a ISO 27001 e a ISO 42001 sem restringir a produtividade.

Evidência em campo

Palestra sobre IAPalestra sobre IA
Análise de riscosAnálise de riscos
Apresentação de achadosApresentação de achados

Perguntas chave

  • Que proporção de colaboradores usa IA generativa sem autorização? — 73% das organizações pesquisadas têm uso não autorizado; em Marketing chega a 89%.
  • Que vetores de vazamento de dados o Shadow AI gera? — Quatro vetores principais: prompts com dados de clientes (42%), upload de documentos internos (38%), código com dados sensíveis (12%), APIs externas sem registro (8%).
  • Quais controles do Anexo A falham? — 61% dos controles de gestão de ativos e acesso não contemplam ativos de IA como categoria, tornando-os ineficazes para detectar Shadow AI.

Metodologia

Marco normativo

ISO/IEC 27001:2022 (Anexo A — controles de acesso, gestão de ativos e segurança nas comunicações); ISO/IEC 42001:2023 (inventário de sistemas de IA e governança); NIST AI RMF 1.0 (perfil de risco e função GOVERN); Regulamento Europeu de IA (UE 2024/1689, artigos 4 e 6).

Protocolo de pesquisa

Levantamento em 140 organizações certificadas ISO 27001 em 5 países da LATAM (pesquisa + análise de tráfego). Identificação e classificação de 23 ferramentas de IA em uso não autorizado por departamento. Análise de 4 vetores de vazamento de dados com quantificação de frequência por tipo. Avaliação de eficácia de 57 controles do Anexo A frente a ativos de IA. Desenvolvimento do modelo de remediação em 3 níveis de risco com controles específicos.

Servicos relacionados

ISO 42001 — Gestao de IAGRC Integral

Quer aplicar essas descobertas?

Agende uma avaliacao e transformamos dados em acao concreta.

Agendar avaliacao