A inteligência artificial no negócio dos Parceiros

O que separa as organizações que escalam Inteligência Artificial (IA) daquelas que ficam presas em pilotos?

“As organizações ainda não têm controlo e governação, ou até visibilidade. É preciso perceber quem é que acede ao quê, mas esse quem também é a inteligência artificial” Filipe Botelho, Channel Account Manager EMEA South, Silverfort

Filipe Botelho, Channel Account Manager EMEA South, Silverfort: “O que vemos neste mercado e com a evolução da inteligência artificial é que o problema não é a tecnologia. Muitas organizações conseguem fazer pilotos com sucesso, mas o desafio é conseguir escalar para produção. Isso acontece por falta de controlo e governação. Sem esta base é difícil integrar a IA nas operações das organizações. É difícil passar da experimentação à escala”

Pedro Teodoro, Services Sales Specialist, HPE: “As organizações começam com os pilotos em pequenas plataformas on-prem ou em cloud para testar os PoC. A questão que se coloca é quando se quer passar dos pilotos para a produção. Há aqui temas como os custos, com a utilização de tokens, a latência e a utilização de frameworks que são lock-in. Muitas vezes, os pilotos começam com dados que são relativamente simples para fazer o piloto, mas quando se escala há uma dificuldade de tratar os dados, a soberania dos dados, a segurança, a própria abordagem tem de estar ligada a um retorno mensurável. Muitas vezes, não há uma estratégia de inteligência artificial bem definida”

Valter Rodrigues, E2E Operations Manager, CyberInspect: “O conceito de pilot-purgatory não é novo; já existia na era do machine learning. O que mudou com a IA generativa é que a barreira de entrada para fazer um piloto caiu para praticamente zero. Qualquer pessoa com acesso à API da OpenAI ou Anthropic consegue fazer um piloto. Atualmente, com a entrada numa nova era de IA com agência, a pressão aumenta. Os agentes criam valor visível em teste. A McKinsey identificou que apenas uma em cada quatro organizações consegue escalar casos de uso de IA para outros departamentos da empresa”

Luís Gregório, Partner Technical Specialist, IBM: “O problema é a intenção. Há empresas ou indivíduos dentro das empresas que gostam de experimentar; isso não é mau. Se o objetivo é experimentar, ficamos pelos pilotos e vamos amadurecendo a organização para algo para o futuro. Achamos que as organizações devem ir para lá disso, para transformar. Significa ter de pensar o que queremos fazer e onde é que a inteligência artificial aporta valor. Aí não estamos a fazer um piloto porque a tecnologia é interessante, mas sim porque queremos transformar algo na organização e gerar valor. Depois, é preciso medir isto para perceber o que está a aportar em termos de valor”

O que está realmente a bloquear a passagem de provas de conceito para produção: tecnologia, dados ou cultura?

	“As organizações começam com os pilotos em pequenas plataformas on-prem ou em cloud para testar os PoC. A questão que se coloca é quando se quer passar dos pilotos para a produção. Há aqui temas como os custos, com a utilização de tokens, a latência e a utilização de frameworks que são lock-in” Pedro Teodoro, Services Sales Specialist, HPE

Pedro Teodoro, HPE: “Raramente há um único bloqueador. Os dados e a tecnologia claramente estão ligados e uma fragilidade numa dessas áreas dificulta a passagem para produção. As empresas mais maduras conseguem tratar disso com processos. No conceito ‘cultura’, assistimos a uma resistência à mudança, à adoção dos casos de uso de inteligência artificial e é preciso fazer um follow-up para que essa adoção possa existir. Ter um chatbot, tipo ChatGPT, numa organização não é o único caso de IA que pode existir. A organização tem de ter uma governação de IA para dar as ferramentas aos seus colaboradores para evitar o shadow AI”

As empresas estão preparadas para tirar partido da IA ou ainda estão a resolver problemas básicos de dados?

Luís Gregório, IBM: “Tecnologicamente, as empresas estão preparadas para tirar partido da IA, mas culturalmente há resistência e não há conhecimento dos casos de uso. Quando se ultrapassa essa barreira cultural, o resto está resolvido; a tecnologia já resolveu e há forma de trabalhar. Mas são precisos dados para os casos de uso. A IA generativa pode ajudar nisso, mas não tudo. Se queremos um chatbot que fale com a linguagem da empresa, é preciso documentação com esse tom. Se não tivermos um modelo de dados navegável pela inteligência artificial, passamos a ter um problema”

Como é que se equilibra a inovação com soberania e controlo de dados, sobretudo no contexto europeu?

Pedro Teodoro, HPE: “No contexto europeu, sabemos como é que isto funciona. A inovação em inteligência artificial tem de coexistir com os requisitos de privacidade. A Europa é uma região complicada nesse aspeto. Se pensarmos naquilo que é o conceito de soberania e transpusermos para o que é digital, significa manter o controlo total em todo o ciclo de vida e em segurança. As estratégias das organizações podem viver completamente em paralelo com o conceito de soberania dos dados e acho que deve fazer parte do seu plano. O que temos trabalhado é a cloud privada de modo a assegurar que as organizações têm uma forma de desenvolvimento dos seus casos de uso sem limitações”

A IA está a reforçar ou a fragilizar a postura de cibersegurança?

“Já não são só as pessoas que têm de se identificar perante o sistema. Com o advento do IoT, as máquinas também tiveram de se identificar. Agora, com o software, os agentes de IA também se têm de identificar” Marco Reis, Solutions Director, Inspiring Solutions

Marco Reis, Solutions Director, Inspiring Solutions: “É importante termos em mente que durante décadas, no mundo digital, a segurança tem sido reativa. Isto acontece porque há uma assimetria básica: enquanto a defesa tem de proteger todos os caminhos, o atacante só tem de descobrir um. Os atacantes não têm orçamentos ou ética para seguir. Esta filosofia tem vindo a mudar ao longo do tempo. A regulação obriga a olhar para a segurança por design. A partir daqui, começa a ser possível detetar vulnerabilidades com mais facilidade. Em 2026, o machine learning é uma necessidade e ajudou a mudar o paradigma da cibersegurança reativa”

Filipe Botelho, Silverfort: “A IA é um utilizador não humano. É preciso controlo e governação. A IA tem acesso a sistemas críticos e agentes não humanos que funcionam de forma autónoma que são um perigo. Isto é um desafio. As organizações ainda não têm controlo e governação, ou até visibilidade. É preciso perceber quem é que acede ao quê, mas esse quem também é a inteligência artificial”

Pedro Teodoro, HPE: “Quando falamos de cibersegurança, a inteligência artificial tem de servir as duas vertentes. Tem o potencial de melhorar significativamente a proteção das organizações com várias soluções, mas também acaba por criar fragilidades e acaba por ampliar a superfície de ataque das organizações. Aquilo que determina os resultados é a maneira como as organizações operam as soluções e pode ser reforçada para acelerar a resposta, ensaios ou testes, no fundo, utilizar as mesmas ferramentas que os atacantes utilizam, mas de forma interna para testar quão bem preparadas estão”

Com copilotos e agentes de IA, estamos a criar riscos de exposição de dados dentro das organizações?

	“É preciso incluir na plataforma de governança de inteligência artificial a análise de risco. Quando alguém regista um caso de uso, é preciso avaliar a descrição e os assets para perceber os riscos” Luís Gregório, Partner Technical Specialist, IBM

Luís Gregório, IBM: “Claro que sim, claro que estamos a abrir portas a riscos. Mas a tecnologia já resolveu muita coisa. A governação da inteligência artificial tem de ter isso em conta. A nossa plataforma também olha para isso, para o risco que cada ponto levanta; utilizar o modelo A ou o modelo B pode apresentar riscos diferentes para a organização. Todas estes diferentes casos de uso levantam riscos diferentes. É preciso incluir na plataforma de governança de inteligência artificial a análise de risco. Quando alguém regista um caso de uso, é preciso avaliar a descrição e os assets para perceber os riscos, ou potenciais riscos, desse caso de uso”

Valter Rodrigues, CyberInspect: “Na era da IA tradicional, o risco de dados era relativamente contido. O modelo preditivo acedia a um número de dados específicos e a exposição era relativamente previsível. Com a IA generativa e os LLM integrados em ferramentas corporativas, o perímetro de exposição explodiu. Todas as ferramentas acedem transversalmente a emails, eventos, CRM… estão dentro das nossas ferramentas de trabalho diário e têm acesso à informação do utilizador e da organização. Com a IA com agência, o risco muda de escala porque não é só pessoas a entrar nessa informação, mas também sistemas, sem qualquer intervenção humana”

Filipe Botelho, Silverfort: “Estamos a introduzir novos riscos, sobretudo com a exposição dos dados. Os copilotos e agentes de IA têm acesso a várias fontes de informação dentro da organização, mas não há uma governação clara de a quê e quando podem ter acesso. Trabalhamos muito neste ponto porque é preciso melhorar a proteção e a defesa da identidade nas organizações numa era em que os agentes de IA e copilotos estão tão presentes”

Marco Reis, Inspiring Solutions: “Há alguns dias estava a falar sobre este tema com uma empresa e perguntei se havia uma política de utilização de inteligência artificial. Disseram que não e que não estavam preocupados porque monitorizavam a utilização de serviços como o ChatGPT. É uma preocupação, mas a empresa só estava a ver a ponta do iceberg, não estava a ver os agentes de IA e os copilotos. Isto é preocupante porque as empresas não têm noção do que está a acontecer dentro de portas; o problema não está nos agentes de IA e nos copilotos em si, mas nas permissões que se dão porque, por má configuração ou acidente, dá-se acesso à informação e raramente se retira”

Devemos começar a tratar a inteligência artificial como uma identidade com permissões e controlo próprio?

“Na prática, a maioria das empresas não está a travar nem a acelerar a sua adoção de IA por causa da regulação. No caso europeu, com o AI Act, este documento foi desenvolvido numa era em que o paradigma dominante eram os sistemas de IA determinísticos” Valter Rodrigues, E2E Operations Manager, CyberInspect

Valter Rodrigues, CyberInspect: “Na era da IA tradicional e IA generativa passiva, a questão da identidade não se punha porque a identidade era o utilizador que usava a ferramenta. Na era do agente de IA, há uma autonomia que não está ligada ao utilizador que criou. As organizações já têm mais identidades não humanas do que humanas, e tipicamente são muito menos governadas. Com o crescimento desta era, o problema vai-se multiplicar. O agente só deve ter acesso a apenas e só o que precisa; isto parece óbvio, mas não é. É preciso, também, uma validação contínua e o sistema revoga essa validação caso exista alguma atividade estranha”

Marco Reis, Inspiring Solutions: “Esta questão remete-nos para as bases da cibersegurança: para darmos autorizações, temos de saber quem são os utilizadores. Já não são só as pessoas que têm de se identificar perante o sistema. Com o advento do IoT, as máquinas também tiveram de se identificar. Agora, com o software, os agentes de IA também se têm de identificar. É preciso dar o mínimo de autorização possível. Há um consenso de que os agentes de IA devem ter uma identidade própria, mas é muito difícil de gerir sem recurso a automação nas organizações”

Filipe Botelho, Silverfort: “Houve uma evolução grande porque, até agora, só tínhamos duas identidades: humanas ou não humanas. Os agentes de IA são totalmente diferentes porque se comportam mais com uma verdadeira identidade; acedem a dados, interagem com sistemas e executam ações de forma autónomas. O desafio é que não são geridos com o mesmo tipo de controlo e visibilidade que as identidades humanas são. Temos de ter um controlo como as identidades humanas. O que vemos no mercado é uma necessidade crescente de colocar princípios de segurança também a estes agentes para escalar a segurança de forma segura”

O impacto regulatório está a travar ou a acelerar a adoção da IA? Quem deve liderar a governação?

Marco Reis, Inspiring Solutions: “Se não houver limite de velocidade nas estradas, posso chegar mais depressa e mais cedo, mas os acidentes aumentam. Quando há regulação é criado um paradoxo fascinante: abranda-se a experimentação, mas aumenta-se a confiança. Devagar se vai ao longe. A regulação europeia terá esse impacto: a experimentação vai diminuir porque é preciso criar documentação, processos e tudo isso vai aumentar o custo; por outro lado, pode acelerar a adoção porque cria mecanismos de confiança porque toda a gente sabe quais são as regras e com o que contar”

Valter Rodrigues, CyberInspect: “Na prática, a maioria das empresas não está a travar nem a acelerar a sua adoção de IA por causa da regulação. No caso europeu, com o AI Act, este documento foi desenvolvido numa era em que o paradigma dominante eram os sistemas de IA determinísticos, ou tradicional. Com a IA com agência surgem novos desafios regulatórios que o documento europeu não previu. Quem é o responsável no caso de um problema: o agente, quem o ativou, quem o criou? As organizações que trabalham com sistemas de IA têm de garantir que os seus colaboradores conseguem trabalhar com essas ferramentas de forma responsável”

Luís Gregório, IBM: “A regulação vai travar quem anda na experimentação, até porque é uma desculpa porque pode não saber o que significa em termos legais. Quem efetivamente estruturou a sua adoção de inteligência artificial e tem uma metodologia e arquitetura, toda uma framework de adoção, incluiu de certeza a governação da inteligência artificial, do risco e da regulação. Aí passa a ser um acelerador. A organização sabe desde o início o que pode e não pode usar, o que pode ou não pode fazer. Vai acelerar muito a adoção para quem já tiver estruturado a utilização da inteligência artificial”

Qual deve ser a prioridade para os próximos 12 meses? Onde devem as organizações investir para não ficarem para trás?

Filipe Botelho, Silverfort: “A prioridade deve ser garantir de forma segura e sustentável a IA. Governação e segurança têm de estar lá. Os Parceiros têm um papel fundamental a ajudar as organizações nos seus processos críticos de forma segura; sem confiança e controlo, não é preciso tirar o máximo valor para o negócio”

Luís Gregório, IBM: “Volto à governança. Os Parceiros deviam apostar em ajudar os clientes em criar uma abordagem estruturada à inteligência artificial e podem contar connosco nesse caminho”

Pedro Teodoro, HPE: “Existem algumas lacunas na adoção de IA e os nossos Parceiros devem ser complementares às equipas técnicas dos clientes e serem relevantes e diferenciadores para serem uma mais-valia para os clientes”

Valter Rodrigues, CyberInspect: “Uma prioridade clara, e que desafiamos os nossos Parceiros de Canal, é fazer um inventário de identidade antes de qualquer investimento adicional em IA. Saber exatamente o que já está a correr, quem é o responsável e o que acontece se for comprometido ou agir de forma inesperada. Este é provavelmente mais invisível da inteligência artificial, mas é o mais crítico. A qualidade da fundação é muito importante”

Marco Reis, Inspiring Solutions: “A fase de lua de mel da inteligência artificial terminou e temos de passar da experimentação. Os clientes devem criar uma fonte de verdade e um bill of materials da inteligência artificial para saberem qual é a sua BoM, que agentes de IA são utilizados, a versão dos dados, entre outros, e, desta forma, podem passar para todas as fases seguintes da proteção para uma utilização segura da inteligência artificial”