Ir para o conteúdo principal

Políticas e salvaguardas para o uso seguro da IA

Considerações para a criação de um quadro de governança e salvaguardas para IA

Ao longo de 2025 e início de 2026, uma equipe de profissionais de segurança focados em IA, pertencentes ao Grupo de Trabalho de Inteligência Artificial da Health-ISAC, reuniu-se para criar um relatório técnico com orientações sobre o desenvolvimento de estruturas de governança de IA. O relatório resultante fornece um modelo de Política de Uso Aceitável de IA e orientações detalhadas sobre a gestão de riscos relacionados à IA. Ele estabelece definições claras para o uso responsável de IA generativa e modelos de aprendizagem de linguagem (LLMs), proibindo a exposição de informações de saúde protegidas (PHI), informações pessoais identificáveis ​​(PII) e dados confidenciais a ferramentas públicas, e exigindo autorização, supervisão e revisão humana dos resultados da IA ​​em contextos clínicos, de RH, jurídicos e financeiros.

Algumas características do documento incluem:

  • Estrutura formal de governança de IA. O documento apresenta um modelo concreto de Comitê de Governança de IA com representação multifuncional (jurídico, privacidade, segurança, tecnologia, ciência de dados, negócios, ética) que se reporta à alta administração ou ao Conselho. Define responsabilidades, exemplos de métricas e enfatiza que a governança é imprescindível, não opcional.
  • Uma estrutura de governança de IA baseada em pilares. O documento descreve uma estrutura de sete pilares: legislação/regulamentação/política, privacidade e ética da IA, governança de casos de uso, governança do ciclo de vida do modelo, contratação e integração de terceiros, resposta a incidentes e gestão de violações de IA, e treinamento e educação em IA. Cada pilar possui objetivos e responsáveis ​​específicos.
  • Roteiro prático para implementação. Um roteiro de implementação divide o trabalho em quatro fases: Iniciação (comitê, princípios, inventário), Avaliação de Riscos e Impactos (AIAI, auditorias de viés, revisões de segurança), Implantação da Estrutura (políticas, registro de casos de uso, controles de ciclo de vida) e Monitoramento e Revisão (revisões periódicas, reciclagem, auditorias).
  • Política de Uso Aceitável de IA detalhada e reutilizável. O documento inclui um modelo completo de política com propósito e escopo, princípios orientadores, transparência e ética, responsabilidade e supervisão, privacidade e segurança de dados, confidencialidade, usos aceitáveis ​​e proibidos, aplicação e definições, além de uma tabela de "permitido versus não permitido" para ferramentas públicas de IA.
  • Oito categorias de risco de IA são mapeadas para salvaguardas específicas. O livro aborda sistematicamente a privacidade e segurança de dados, a cadeia de suprimentos e os riscos de terceiros, os riscos de modelos e resultados, o viés e a imparcialidade, a regulamentação e a conformidade, as vulnerabilidades de segurança, os riscos de governança e supervisão e a IA paralela, associando cada um desses aspectos a salvaguardas concretas, como minimização de dados, SBOMs (Sistemas de Gestão de Segurança), due diligence de fornecedores, testes de intrusão (red teaming), controles contratuais e detecção de IA paralela.

 

Autores: Cohen, Luda (AbbVie); Mourad, Carole (Bio Bridge Global); Naik, Shrikanth (Abbott); Streelman, Jeff (SpendMend)

Colaboradores de conteúdo: Murphy, Bill (LeanTaaS), Gosnell, Joe (Tucson Medical Center)

TLP:BRANCO Este relatório pode ser compartilhado sem restrições.

 

O que o ataque à Stryker revela sobre a segurança de dispositivos médicos
HSCC divulga guia de transparência da cadeia de suprimentos e riscos de IA de terceiros