Artificial_Intelligence_depositphotos_dqs_edited

Segurança da IA: Riscos, regulamentos e ISO 42001

Sandeep Pauddar

Sandeep Pauddar, Gerente do Setor de TI, possui mais de 25 anos de experiência profissional. Sua experiência recente inclui gestão de GRC, auditoria interna e externa, gestão de projetos (incluindo licitações, elaboração de SOW, orçamento, cronograma, gestão de riscos e gestão de pessoas em grandes equipes, além de entrega de projetos de alta qualidade no prazo) nas áreas de TI e Telecomunicações Sem Fio.
abr. 23 , 2025

A Inteligência Artificial (IA) está a avançar rapidamente, com modelos de aprendizagem automática (ML) que preveem resultados, automatizam tarefas e geram conteúdos. Mas à medida que os sistemas de IA se tornam mais capazes, surgem novos riscos, exigindo medidas de segurança mais fortes e supervisão regulamentar.

Portrait of Smiling IT Specialist Using Tablet Computer in Data Center. Big Server Farm Cloud Comput

Evolução das AI’s 1950 - 2025

A IA tem vindo a desenvolver-se desde a década de 1950, quando Alan Turing propôs que as máquinas podiam simular inteligência. O termo "inteligência artificial" foi cunhado em 1956, dando origem a décadas de investigação e descobertas. Os marcos históricos incluem:

  • A vitória do Deep Blue da IBM sobre um campeão de xadrez em 1997
  • O lançamento da Siri em 2011
  • O AlphaGo da DeepMind superou os jogadores humanos em 2016.

Mais recentemente, modelos de IA generativa como o ChatGPT e o DALL-E demonstraram a capacidade de criar textos e imagens semelhantes aos humanos . Como resultado e em combinação com este desenvolvimento em ML e IA, surgiram novos riscos para empresas e indivíduos.

Riscos de segurança da IA versus ameaças tradicionais à cibersegurança

As ameaças tradicionais à cibersegurança envolvem phishing, malware, intrusões na rede e intercessão de dados. Estes ataques baseiam-se frequentemente em erros humanos e fraquezas nas defesas técnicas e, por esta razão, as estratégias de mitigação devem combinar segurança de rede, encriptação e formação de sensibilização dos utilizadores.

Os riscos de segurança da IA partilham algumas semelhanças com os riscos tradicionais, mas introduzem novos desafios:

  • Ataques adversários - Os atacantes manipulam os modelos de IA criando entradas que os levam a tomar decisões incorretas.
  • Enviesamento - Os modelos de IA podem refletir enviesamentos nos seus dados de formação, conduzindo a resultados injustos ou discriminatórios.
  • Transparência - Muitos modelos de IA funcionam como "caixas negras", tornando difícil avaliar a forma como chegam às decisões.
  • Envenenamento de dados - Os atacantes comprometem os dados de treino da IA, fazendo com que os modelos se comportem de forma imprevisível.

Para dar alguns exemplos do que precede: Filtros de spam alimentados por IA que classificam mal os e-mails; aprovações tendenciosas de empréstimos por IA; veículos autónomos que fazem escolhas inseguras. Para fazer face a estes riscos, são necessários protocolos de segurança específicos para a IA, validação de modelos, redução de enviesamentos e técnicas de explicação. A primeira entidade global a começar a legislar sobre a mitigação de riscos entrou em vigor a 2 de fevereiro de 2025, através da União Europeia (UE).

 

Regulamentação da IA: a Lei da IA da UE e os esforços globais

A Lei da IA da UE categoriza os sistemas de IA por nível de risco, impondo regras rigorosas às aplicações de alto risco, como os cuidados de saúde e as finanças. Também impõe requisitos de transparência e sanções em caso de incumprimento.

Outros governos estão tomando medidas: A Reuters noticiou que a China introduziu regras sobre a IA generativa, o Reino Unido organizou debates sobre a segurança da IA, de acordo com o Financial Times, e os EUA emitiram uma ordem executiva sobre a segurança da IA. Em resposta, a ISO introduziu a Norma Internacional 42001, que oferece orientações para as organizações desenvolverem sistemas de gestão de IA confiáveis.

Lets browse for a few ideas. Shot of a group of professionals using wireless technology during a mee

ISO 42001 para segurança e governança de IA

A ISO 42001 é uma norma emergente para a gestão da IA. À semelhança da ISO 27001, que estabelece requisitos para a segurança da informação, a ISO 42001 fornece diretrizes para:

  • Responsabilização - Definir responsabilidades de supervisão para sistemas de IA.
  • Qualidade dos dados - Garantir que os dados de formação são exatos e representativos.
  • Segurança - Proteger os modelos de IA contra ataques e utilização indevida.
  • Equidade e transparência - Tornar as decisões de IA explicáveis e reduzir a parcialidade.

É importante salientar que as avaliações ISO 42001 e ISO 27001 podem ser integradas. Isto pode gerar eficiências para a sua organização, incluindo uma redução significativa na duração das auditorias.

Implementar a ISO 42001 na segurança da IA na sua empresa

As organizações que se preparam para uma auditoria de Sistema de Gestão de IA (AIMS) devem:

  1. Familiarizar-se com a ISO 42001.
  2. Realizar uma avaliação de prontidão.
  3. Desenvolver um roteiro, incluindo uma avaliação de risco de IA.
  4. Implementar um AIMS com melhoria contínua e práticas éticas de IA.
  5. Envolver as partes interessadas e integrar a segurança da IA nas operações comerciais.

O Anexo B da ISO 42001 fornece orientações de implementação detalhadas, enquanto os Anexos C e D abrangem objetivos, análise de risco e aplicações específicas do setor. Se estiver curioso sobre o que isto pode significar para a sua empresa, contate os nossos especialistas hoje mesmo.

 

Como a ISO 42001 apoia a conformidade com a Lei de IA da UE

A ISO 42001 está alinhada com a Lei de IA da UE, oferecendo controles estruturados para a segurança e governação da IA. Está disponível um documento de mapeamento que liga as cláusulas da ISO 42001 aos requisitos da Lei de IA da EU, garantindo que as organizações podem demonstrar conformidade.

 

Benefícios empresariais da adoção da ISO 42001

Os setores que beneficiam das estruturas de segurança da IA incluem:

  • Empresas de tecnologia - Garantir o desenvolvimento ético da IA.
  • Cuidados de saúde - Garantir diagnósticos baseados em IA.
  • Finanças - Reforçar a avaliação de risco orientada para a IA.
  • Retalho - Melhorar os sistemas de recomendação baseados em IA.
  • Governo - Melhorar a tomada de decisões baseada em IA.

 

A adoção da ISO 42001 conduz a:

  • Maior segurança da IA - Proteção contra ameaças adversas.
  • Poupança de custos - Simplificação da gestão do risco da IA.
  • Prontidão regulamentar - Cumprimento dos requisitos de conformidade.
  • Vantagem competitiva - Demonstração de práticas éticas de IA.

Desafios que as empresas enfrentam na implementação da ISO 42001

Identificação e gestão de riscos de IA.

Criação de documentação para ISO 42001.

Acompanhar a evolução dos regulamentos de IA.

Definição de KPIs para aprimoramento do AIMS.

Integração da AIMS às estruturas existentes.

Monitoramento do desempenho do sistema de IA.

Porque é que as empresas devem agir agora

Os regulamentos e normas de IA estão a expandir-se. As organizações que se alinharem com a ISO 42001 estarão mais bem preparadas para o escrutínio regulamentar e os riscos de segurança. Uma forte governação da IA também cria confiança e reduz a exposição legal, tornando-a uma prioridade estratégica para qualquer empresa que utilize IA.

Escolher a DQS para a sua certificação ISO 42001 significa estabelecer uma parceria com um organismo de certificação de confiança com uma vasta experiência, oferecendo um apoio abrangente ao longo do processo de certificação, orientando-o desde a candidatura inicial até à acreditação final.

A sua empresa é vulnerável ao risco de IA? Fale com os nossos especialistas, sem qualquer compromisso, para o descobrir.

tcp-III-med-dqs-two businessmen looking together at workbooks near high-rise buildings

Verifique a sua vulnerabilidade à IA

Obtenha um orçamento personalizado e saiba qual é a sua posição em relação à AIMS em 2025.

Iniciar uma conversa
Autor

Sandeep Pauddar

  • Registro de Auditor Líder ISO 27001 no PECB para a norma ISO 27001
  • Registro do Encarregado da Proteção de Dados no PECB
  • Certificações PMP e ITIL
  • Profissional de Governança, Risco e Conformidade (GRC)
  • Realizou avaliações GDPR/CCPA