Riscos e precauções ao usar IA para desenvolvimento de software em ambientes organizacionais
O crescimento de ferramentas de desenvolvimento de software baseadas em IA representa um risco crescente à segurança das organizações.
Muitos desenvolvedores se veem tentados a usar indiscriminadamente essas novas ferramentas de IA para melhorar a qualidade e a produtividade do seu software, sem considerar os riscos que isso pode trazer para a organização em que trabalham. A novidade e a rápida evolução dessas tecnologias dificultam a gestão por parte de algumas organizações.
O problema está na proteção da informação: hoje, quase nenhuma dessas ferramentas atende à certificação SOC 2 Type 2, o que representa um risco sério. A falta dessa certificação impede garantir que os dados ou códigos compartilhados para treinar o contexto ou servir como parâmetros de entrada para a IA sejam tratados de forma correta e confidencial. Apenas algumas ferramentas, sob contrato empresarial, contam com essa certificação.
Usar ferramentas gratuitas sem a aprovação da área de InfoSec (segurança da organização) coloca em risco a empresa e até o nosso próprio emprego, pois o código de uma organização é propriedade intelectual e pode conter regras de negócio de grande importância e valor, que não devem ser compartilhadas com terceiros, especialmente com a concorrência.
Embora a maioria das IAs não identifique o usuário ou a origem dos dados, isso não elimina o risco, já que estamos treinando uma IA de uso massivo sobre o funcionamento do nosso software. Por isso, é fundamental contar com um contrato de confidencialidade dos dados e que a empresa provedora do serviço detenha a certificação SOC 2 Type 2, inclusive para definir as responsabilidades em caso de descumprimento.
Uma IA para desenvolvimento de software que atua em ambiente empresarial precisa contar com a certificação SOC 2 Type 2 atualizada, o que garante a confidencialidade do contexto e dos dados compartilhados.
Quando é adequado usar ferramentas de IA gratuitas ou que não atendem à SOC 2 Type 2?
O uso é apropriado em projetos de código aberto (open source) ou para fins de aprendizagem (desde que se trabalhe com código independente, que não pertença a nenhuma organização). Se o repositório Git for público, podemos usar a IA sem problemas.
Conclusão
Usem as ferramentas de IA para desenvolvimento de software, mas com responsabilidade e no ambiente certo. Em caso de dúvida, consultem a área de segurança da sua organização (InfoSec) sobre a conveniência de usar esse recurso — de preferência por e-mail, para ter um registro.
É fundamental que as organizações que desejem incorporar IA aos seus processos contratem um serviço adequado e verifiquem que a empresa provedora conta com a certificação SOC 2 Type 2. Além disso, é importante que o contrato inclua cláusulas de responsabilidade e indenização em caso de qualquer incidente.