-
Estratégia e governança
Uma em cada quatro organizações do setor financeiro já está usando controles para evitar o uso do ChatGPT. As restrições à ferramenta de IA generativa também indicam que os controles em questão são basicamente preventivos, ou seja, o acesso dos usuários à plataforma foi bloqueado. Essa é a conclusão de um levantamento realizado pelo laboratório da Netskope, empresa desenvolvedora de softwares.
A pesquisa levantou que o setor de tecnologia vive um cenário oposto ao de serviços financeiros, sendo que apenas uma cada cinco empresas implementam os controles e o uso do ChatGPT. “Embora seja curioso, a verdade é que as empresas de tecnologia estão aproveitando os benefícios da ferramenta com segurança, devido aos tipos de controle que estão implementando”, diz Ray Canzanese, diretor do Netskope Threat Labs.
Controles
Neste levantamento, a equipe de pesquisas de ameaças da Netskope destacou quatro tipos de controles que as empresas implementaram para monitorar e controlar o uso do ChatGPT.
1. Políticas de alerta
São controles informativos que fornecem apenas a visibilidade de como os usuários dentro da empresa estão interagindo com o ChatGPT. Muitas vezes, eles são acoplados a políticas de prevenção contra perda de dados (DLP), para fornecer visibilidade de dados potencialmente confidenciais postados no ChatGPT. As políticas de alerta geralmente são usadas durante uma fase de aprendizado, para explorar a eficácia e o impacto de um controle de bloqueio, e geralmente são convertidas em novas regras, depois de terem sido ajustadas e testadas.
2. Políticas de coaching do usuário
Geralmente, são associadas à DLP e podem ser usadas para notificar o usuário de que os dados postados no ChatGPT parecem ser de natureza confidencial. O usuário, normalmente, é lembrado das regras da empresa e questionado se deseja ou não continuar. Por exemplo, se a política da empresa não permite upload de código-fonte proprietário para o ChatGPT, mas o usuário estiver fazendo o upload de algum código-fonte aberto, ele pode optar por continuar com o envio após a notificação. Para as políticas de treinamento de usuários do ChatGPT, os usuários clicam em prosseguir 57% das vezes.
3. Políticas de DLP
Elas permitem o acesso ao ChatGPT, mas controlam a postagem de dados confidenciais em prompts – símbolos ou mensagens exibidos em uma linha de comando ou interface de linha de comando (CLI), que indica que o sistema está pronto para receber um comando ou entrada do usuário.
As políticas DLP são configuradas pela organização para serem acionadas em cada postagem no ChatGPT e inspecionar o conteúdo da postagem antes de permitir que o usuário prossiga. Os controles mais comuns se concentram em código-fonte proprietário, senhas e chaves, propriedade intelectual e dados regulamentados.
4. Políticas de bloqueio
O tipo de política mais severo é o que bloqueia completamente o uso do ChatGPT. Os usuários não têm permissão para qualquer interação com a ferramenta: não podem fazer login, postar prompts ou, em alguns casos, sequer conseguem acessar a própria página de login.
As maiores e as menores taxas de controle do ChatGPT
O gráfico a seguir mostra qual porcentagem de organizações, em cada um dos sete setores analisados, que implementou cada tipo de controle. Os serviços financeiros lideram em termos de políticas de bloqueio, no qual quase 17% das organizações bloqueiam completamente o ChatGPT. As políticas DLP que controlam exatamente o que pode ser postado no ChatGPT também são mais populares entre serviços financeiros e saúde, setores altamente regulamentados.
Estados, governos locais (municipais) e instituições educacionais (SLED) apresentaram a menor taxa geral de controles ChatGPT e a menor adoção de políticas de treinamento de usuários, políticas DLP e políticas de bloqueio.
Já entre as empresas tech, os tipos de controles são geralmente menos rigorosos do que em outros setores. As organizações de tecnologia lideram o uso de alertas para fornecer apenas visibilidade e usam DLP e políticas de coaching de usuários em taxas semelhantes a outras verticais. Em resumo, isso significa que as empresas de tecnologia visam permitir que seus usuários acessem o ChatGPT, enquanto monitoram de perto o uso e implementam controles direcionados quando apropriado.
