Prévia do material em texto
_________________________________________________________________________________ Documento Controlado Versão 0000 Uso Interno Página 1 de 14 NORMA PARA UTILIZAÇÃO DE INTELIGÊNCIA ARTIFICIAL NO AMBIENTE ENERGISA ESA|GESC|NRM-594|2023 NORMA _________________________________________________________________________________ Documento Controlado Versão 0000 Uso Interno Página 2 de 14 Sumário VERSÃO DO DOCUMENTO ................................................. 3 SIGLAS E ABREVIAÇÕES ................................................... 4 1- OBJETIVO ............................................................. 6 2- APLICAÇÃO ........................................................... 6 3- DOCUMENTAÇÃO NORMATIVA DE REFERÊNCIA ................ 6 4- NORMA................................................................. 6 4.1- INTELIGÊNCIA ARTIFICIAL (IA) ....................................................................................... 6 4.1.1- MODALIDADES DE IA ............................................................................................. 7 4.1.2- TIPOS DE APLICAÇÃO DE IA PELAS EMPRESAS ...................................................... 8 4.1.3- POSSÍVEIS IMPACTOS DO USO DA IA NA SEGURANÇA DOS DADOS ..................... 8 4.1.4- ORIENTAÇÕES PARA UTILIZAÇÃO DAS FERRAMENTAS DE IA ............................... 9 4.1.5- PEDIDO DE AVALIAÇÃO PARA UTILIZAÇÃO DE IA................................................ 10 4.1.6- REVISÃO PERIÓDICA ............................................................................................ 11 5- REFERÊNCIAS BIBLIOGRÁFICAS.................................. 11 6- ANEXOS .............................................................. 12 VIGÊNCIA .................................................................. 13 APROVAÇÃO .............................................................. 13 _________________________________________________________________________________ Documento Controlado Versão 0000 Uso Interno Página 3 de 14 VERSÃO DO DOCUMENTO Este documento foi preparado por: NOME DO COLABORADOR E-MAIL Hebert Dias hebert.dias@energisa.com.br Recursos envolvidos nas Reuniões: NOME DO COLABORADOR EMPRESA E-MAIL Bruno Macena ENERGISA S.A. bruno.macena@energisa.com.br João Lopes Braga ENERGISA S.A. Joao.braga@energisa.com.br Revisão: Versão 0000 03/11/2023 Monique Russi Guesse _________________________________________________________________________________ Documento Controlado Versão 0000 Uso Interno Página 4 de 14 SIGLAS E ABREVIAÇÕES IDENTIFICADOR DESCRIÇÃO AI – Artificial Intelligence (Inteligência Artificial) A Inteligência Artificial é a capacidade que sistemas e soluções tecnológicas têm de simular ou buscar reproduzir possíveis comportamentos da inteligência humana, realizando determinadas atividades de maneira autônoma e aprendendo por si mesmas, essa capacidade ocorre com a possibilidade do processamento de um grande volume de dados que recebem de seus usuários. Ativo de Tecnologia da Informação São considerados Ativos de Tecnologia da Informação, todo e qualquer ambiente tecnológico, exceto o ambiente de OT (Tecnologia da Operação), que necessite de credenciais para acesso, por exemplo: bancos dados, sistemas corporativos, rede etc. Chamado Solicitação registrada no sistema corporativo de gestão de serviços da Energisa. CSE Central de Serviços Energisa - (32)3202-3030 - https://centralservicos.energisa.com.br DTIN Diretoria de Tecnologia da Informação. GAT Gerência de Automação e Telecom. GEAD Gerência de Aplicação e Dados GEBI Gerência de Business Intelligence GEOP Gerência de Operações GESC Gerência de Segurança Cibernética Gestor de Ativo Tecnológico É o Profissional responsável por gerir um Ativo Tecnológico. GRCI Gerência de Riscos e Controles Internos. GPAN Gerência de Processos e Análise de Negócios LGPD – Lei Geral de Proteção de Dados Legislação brasileira que regula o tratamento de dados pessoais e tem como principal objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Perfil de Acesso Representa o subconjunto de acessos permitidos às funcionalidades dos sistemas para determinadas Posições de RH. PNE Pirâmide Normativa Energisa, repositório da documentação normativa. POP Procedimento Operacional Padrão. Profissional São pessoas que possuem contrato de trabalho ou de prestação de serviço para o grupo Energisa. Existem 2 tipos de profissionais: 1) Colaborador - É o Profissional que tem contrato de trabalho direto com o Grupo Energisa; 2) Prestador de Serviço (Terceirizado) - É o Profissional que tem contrato de trabalho direto com uma empresa que por sua vez tem contrato de prestação de serviços para o grupo Energisa. PSI Política de Segurança da Informação. SOC Security Operation Center (Centro Monitoramento de Segurança Cibernética). _________________________________________________________________________________ Documento Controlado Versão 0000 Uso Interno Página 5 de 14 Termo de Sigilo e Confidencialidade É o documento em que se os assinantes se comprometem a manter sigilo e confidencialidade a respeito das informações recebidas durante suas atividades laborais dentro do Grupo Energisa. Usuário-Chave É o Profissional centralizador de todos os assuntos do sistema corporativo, devido ao seu pleno conhecimento e domínio dos processos de negócio (internos e interfaces) e dos papéis e responsabilidades de outros profissionais envolvidos nesses processos. É aprovado pelo Diretor Dono do sistema. Usuário-Representante É o Profissional substituto em caso de indisponibilidade do usuário- chave. É aprovado pelo Diretor Dono do sistema. VPG Vice-Presidência de Gente e Gestão. VPT Vice-Presidência de Tecnologia. NORMA Nome do Documento: NORMA PARA UTILIZAÇÃO DE INTELIGÊNCIA ARTIFICIAL NO AMBIENTE ENERGISA Versão: 0000 Data da Elaboração: 01/11/2023 Empresa: ENERGISA S.A. Área: VPT/GESC Identificação Do Documento: ESA|GESC|NRM-594|2023 Abrangência: TPDAS AS UNIDADES DO GRUPO ENERGISA _________________________________________________________________________________ Documento Controlado Versão 0000 Uso Interno Página 6 de 14 1- OBJETIVO A finalidade deste documento é estabelecer as principais diretrizes para Segurança da Informação, Privacidade e Proteção de Dados, direcionados ao controle de acessos aos serviços, sistemas, ferramentas e aplicações Web, para produção de conteúdo ou consulta tendo como base em Inteligência Artificial (AI – Artificial Intelligence), por meio de ativos de Tecnologia da Informação ou ambiente de Tecnologia do Grupo Energisa. Visa também garantir o adequado nível de segurança quanto aos riscos operacionais (que afetam disponibilidade e/ou desempenho dos serviços tecnológicos), riscos de segurança (relacionados à proteção das informações armazenadas), bem como, riscos direcionados a Lei Geral de Proteção de Dados, no que tange aosprincípios da referida legislação. 2- APLICAÇÃO Em todo grupo Energisa, incluindo profissionais que venham a ter acesso e/ou utilizar, direta ou indiretamente, os Ativos de Tecnologia da Informação da Energisa, inclusive terceiros/fornecedores que realizem tratamento de dados em nome do grupo Energisa, na qualidade de operadores conforme definição da LGPD. 3- DOCUMENTAÇÃO NORMATIVA DE REFERÊNCIA • Política de Segurança da Informação do Grupo Energisa, conforme aprovada pelo Conselho de Administração em Julho/2022. • Política de Privacidade do Grupo Energisa, publicada em Agosto/2022; • Norma de Uso de Ativos Tecnológicos Grupo Energisa, conforme publicado na PNE (Pirâmide Normativa Energisa) em Novembro/2022 • Código de Ética e de Conduta do Grupo Energisa, conforme publicado na PNE (Pirâmide Normativa Energisa); • Aviso Interno de Privacidade, publicado em XX/XX; • Projeto de Lei 2338/2023 – Dispõe sobre o uso da inteligência artificial; • Demais normativos, procedimentos e/ou guias e circulares internas do grupo Energisa. 4- NORMA 4.1- INTELIGÊNCIA ARTIFICIAL (IA) NORMA Nome do Documento: NORMA PARA UTILIZAÇÃO DE INTELIGÊNCIA ARTIFICIAL NO AMBIENTE ENERGISA Versão: 0000 Data da Elaboração: 01/11/2023 Empresa: ENERGISA S.A. Área: VPT/GESC Identificação Do Documento: ESA|GESC|NRM-594|2023 Abrangência: TPDAS AS UNIDADES DO GRUPO ENERGISA _________________________________________________________________________________ Documento Controlado Versão 0000 Uso Interno Página 7 de 14 Uma das definições para Inteligência Artificial (IA) é a capacidade que soluções tecnológicas têm de simular a inteligência humana, realizando determinadas atividades de maneira autônoma, comparando informações e aprendendo por si de maneira autônoma, sendo possível pela capacidade tecnológica de processamento de um grande volume de dados que recebem. O funcionamento da IA combina grandes volumes de dados, alimentados constantemente por humanos, por meio de suas pesquisas, consultas, carga de dados iniciais e algoritmos inteligentes para ler e interpretar padrões. Fazendo com que o seu processo de aprendizado e, consequentemente, de ensino, seja muito eficiente. Estudos direcionados a IA estão sendo realizados nas últimas décadas e, atualmente, abrangem uma enorme variedade de subcampos, desde áreas de uso geral, como aprendizado e percepção, até tarefas específicas como demonstração de teoremas matemáticos, elaboração de códigos de programação de sistemas, elaboração de planilhas a partir de base de dados, correção de textos, atendimento de chamadas de central de atendimento, elaboração e avaliação de documentos jurídicos e diagnóstico de doenças. A inteligência artificial sistematiza e automatiza tarefas intelectuais e, portanto, é potencialmente relevante para qualquer esfera da atividade intelectual humana. 4.1.1- MODALIDADES DE IA Como uma forma de classificação, as modalidades de Inteligência Artificial são classificadas levando em conta sua capacidade e funcionalidade, pelo que hoje podemos identificar os 3 tipos abaixo: Inteligência Artificial Limitada: Objetivo realizar atividades para as quais foi programada, tendo que armazenar uma grande quantidade de dados e realizando cálculos complexos com rapidez. Capaz de realizar funções específicas e solucionar problemas pré- determinados, por meio de comparação de possibilidades parametrizadas. • Machine Learning; Inteligência Artificial Geral: Essa modalidade ainda está em desenvolvimento, não tendo visibilidade de exemplos que façam parte do nosso dia a dia. Em tese os sistemas seriam capazes de emular habilidades cognitivas e solucionar problemas para os quais não foram programados. Ou seja, a máquina conseguiria realizar qualquer tarefa que poderia ser executada por uma pessoa. • Pensamento abstrato; NORMA Nome do Documento: NORMA PARA UTILIZAÇÃO DE INTELIGÊNCIA ARTIFICIAL NO AMBIENTE ENERGISA Versão: 0000 Data da Elaboração: 01/11/2023 Empresa: ENERGISA S.A. Área: VPT/GESC Identificação Do Documento: ESA|GESC|NRM-594|2023 Abrangência: TPDAS AS UNIDADES DO GRUPO ENERGISA _________________________________________________________________________________ Documento Controlado Versão 0000 Uso Interno Página 8 de 14 • Conhecimento do contexto; • Raciocínio lógico; • Raciocínio de causa e efeito; • Aprendizado por transferência; • Percepção sensorial; • Habilidades motoras finas; • Compreensão da linguagem natural. Superinteligência Artificial: Essa modalidade de AI ainda segue apenas no campo teórico. Referindo a um sistema que poderia realizar análises intelectuais sobre-humanos em praticamente toda área do conhecimento, incluindo a ciência, a criatividade e as habilidades sociais. Seria uma modalidade capaz de ser autoconsciente, podendo compreender e evocar emoções naqueles com quem interage, mas também terá emoções, necessidades e potencialmente desejos próprios. 4.1.2- TIPOS DE APLICAÇÃO DE AI PELAS EMPRESAS Utilizar mecanismos de Inteligência Artificial podem contribuir nas atividades da empresa, considerando a redução de tempo na execução de tarefas, escala na execução de cálculos e rotinas, controle execução de análises e muitas outras vantagens. Abaixo segue exemplos: • Detectar e impedir intrusões de segurança; • Detectar, mapear e monitorar comportamento de sistemas; • Resolver problemas de tecnologia de usuários; • Reduzir o tempo na execução de tarefas repetitivas; • Reduzir o tempo e volume de falhas na execução de grandes cálculos; • Avaliar a conformidade e aderência interna das atividades executadas na empresa; • Automatizar serviços de atendimento e gestão de ambiente de tecnologia; • Monitorar e registrar por meio de relatórios as atividades executadas; • Realizar auditoria periódica ou revisão de atividades de maneira automatizada. 4.1.3- POSSÍVEIS IMPACTOS DO USO DA IA NA SEGURANÇA DOS DADOS As formas de impacto da utilização de IA nos ambientes tecnológicos, estão ligados à sua grande capacidade de processamento, execução de um volume considerável de tarefas, acesso a bases de dados ou extrações destas, conjunto ao possível processamento de informações em nuvem por estas tecnologias. Diante de um cenário inovador destas tecnologias, os profissionais de TI e as empresas NORMA Nome do Documento: NORMA PARA UTILIZAÇÃO DE INTELIGÊNCIA ARTIFICIAL NO AMBIENTE ENERGISA Versão: 0000 Data da Elaboração: 01/11/2023 Empresa: ENERGISA S.A. Área: VPT/GESC Identificação Do Documento: ESA|GESC|NRM-594|2023 Abrangência: TPDAS AS UNIDADES DO GRUPO ENERGISA _________________________________________________________________________________ Documento Controlado Versão 0000 Uso Interno Página 9 de 14 estão buscando identificar e mensurar seus impactos, riscos associados e quais medidas são possíveis para mitigar, reduzir ou monitorar. Uma vez que a capacidade de resposta da IA consegue ser inúmeras vezes superior que o ser humano, o volume de dados enviados para essa análise, ou trabalhados por meio de IA, podem facilitar o acesso indevido aos mesmos, tornando o controle e segurança dos dados uma tarefa muito complexa e com possíveis custos elevados. Os benefícios na redução de tempo para execução de parte das atividades, bem como a liberação de profissionais de atividades repetitivas, podem trazer fragilidade e risco de exposição de dados, assim, podemos não exaustivamente, mencionar os seguintes riscos:• Direcionados a segurança dos dados; • Falha de processamento no ambiente e Ti e ou indisponibilidade; • Qualidade dos dados; • Riscos contratuais; • Riscos de privacidade; • Risco de Fornecedores; • Risco de propriedade intelectual; • Risco de segurança cibernética; • Risco de direcionamento da análise realizada pela IA. 4.1.4- ORIENTAÇÕES PARA UTILIZAÇÃO DAS FERRAMENTAS DE IA Considerando um tema em franca evolução, ainda não temos disponíveis um maior volume de frameworks ou metodologias direcionadoras, no momento os riscos estão sendo avaliados pelo conhecimento dos profissionais considerando como suporte sobre os Riscos da Inteligência Artificial a nova norma ISO/IEC 23894, que deve ser usada em conjunto com a ISO 31000, com orientações específicas para a gestão de riscos da IA. O referido documento está sendo traduzido no Brasil por um grupo de trabalho na ABNT, para posterior publicação como normativo nacional. Pela relevância do tema, temos em tramitação o Projeto de Lei 2338/2023, com o objetivo de dispor sobre os usos e controles direcionado a Inteligência Artificial no Brasil. Por isso faz necessário algumas orientações práticas para utilizar ferramentas de Inteligência Artificial de forma mais segura: • Em caso de ferramenta disponível por meio da internet, sempre utilize seu navegador em "modo anônimo"; NORMA Nome do Documento: NORMA PARA UTILIZAÇÃO DE INTELIGÊNCIA ARTIFICIAL NO AMBIENTE ENERGISA Versão: 0000 Data da Elaboração: 01/11/2023 Empresa: ENERGISA S.A. Área: VPT/GESC Identificação Do Documento: ESA|GESC|NRM-594|2023 Abrangência: TPDAS AS UNIDADES DO GRUPO ENERGISA _________________________________________________________________________________ Documento Controlado Versão 0000 Uso Interno Página 10 de 14 • Verifique as políticas e diretrizes internas, direcionadas a como realizar interação com ferramentas de Inteligência Artificial e quais informações podem ser compartilhadas. • Nenhum dado pessoal (próprio ou de clientes, funcionários ou terceiros) ou mesmo informação relevante ao negócio deve ser inserida (por meio de digitação ou upload) na ferramenta de IA. • Todo conteúdo gerado por meio de IA deve ser verificado, revisado e aprovado internamente pelo gestor de forma prévia da sua utilização. • Nenhum conteúdo produzido com auxílio de IA pode ser considerado diretamente seguro e confiável. • Busque treinamentos e informações com a equipe de suporte interno, participe dos treinamentos de conscientização sobre segurança, privacidade e proteção de dados. • Tenha cuidado para possíveis violações de privacidade, caso identifique uma possível ocorrência busque apoio junto a equipe responsável pela Proteção de Dados. • O acesso as ferramentas de Inteligência Artificial podem ser monitoradas e auditadas, para assegurar que os mesmos estão em compliance com as políticas e verificar que as melhores práticas estejam sendo seguidas. • Verificar na configuração da ferramenta a possibilidade de registro de log de atividades, caso essa funcionalidade for passível de parametrização, o mesmo deve ser configurado e salvo o registro das atividades executadas. Através dos processos e atividades de avaliação realizados pelos times de Segurança, Inteligência e CCTI da GESC, as plataformas de IA liberadas para acesso pelos profissionais da Energisa serão divulgadas formalmente para todas as empresas do grupo através dos canais oficiais de comunicação. Caso o usuário tenha alguma dúvida da possibilidade de acesso, deve consultar a GESC antes de realizar o referido acesso. 4.1.5- PEDIDO DE AVALIAÇÃO PARA UTILIZAÇÃO DE IA O Pedido para experimentação, avaliação, contratação, utilização de ferramentas de IA seguindo normativo interno de Segurança da Informação, deve ter como porta de entrada o time da GPAN, que conduzirá todo processo de levantamento, prospecção e avaliações necessárias. A solicitação de liberação de acesso de tecnologias de Inteligência Artificial, seja na modalidade de acesso pela internet, ferramentas ou sistemas instalados, devem seguir vinculados de uma Credencial de Acesso PESSOAL, sendo necessário ser justificado sua necessidade e abertura de um chamado registrado e aprovado pelo Gestor ou Responsável pelo profissional. NORMA Nome do Documento: NORMA PARA UTILIZAÇÃO DE INTELIGÊNCIA ARTIFICIAL NO AMBIENTE ENERGISA Versão: 0000 Data da Elaboração: 01/11/2023 Empresa: ENERGISA S.A. Área: VPT/GESC Identificação Do Documento: ESA|GESC|NRM-594|2023 Abrangência: TPDAS AS UNIDADES DO GRUPO ENERGISA _________________________________________________________________________________ Documento Controlado Versão 0000 Uso Interno Página 11 de 14 As solicitações de acesso de Prestadores de Serviço deverão obrigatoriamente seguir os mesmos critérios para colaboradores Energisa, sendo necessário também possuir data de validade registrada no ato da criação (limitada a 1 ano) e, após a expiração dessa data, o acesso deverá ser renovado respeitando-se a vigência do contrato estabelecido entre o prestador do serviço e o Grupo Energisa. 4.1.6- REVISÃO PERIÓDICA As permissões de acessos a sistemas ou sites com utilização de IA, em vigor no Ambiente da Energisa devem ser avaliados e revisados periodicamente a cada 6 meses, junto o controle de revisão de acessos de sistemas, sendo revisão pelo Usuário-Chave deste tipo de serviço. Essas revisões devem ser documentadas visando produzir evidências para possível auditoria futura. Os serviços e sites para acesso em IA indicados pela GESC, serão verificados e atualizados de forma recorrente, em conjunto a revisão periódica dos usuários, caso seja identificado um novo serviço ou site para o acesso, o usuário interessado poderá por meio de chamado, solicitar a avaliação dos times responsáveis, para que o mesmo passe a fazer parte da lista de acesso verificado pelo Grupo Energisa. 5- REFERÊNCIAS BIBLIOGRÁFICAS • ABNT NBR ISO/IEC 27002:2013 - Tecnologia da Informação. Técnicas de segurança da informação. 9.1.1 - Política de controle de acesso. • ABNT NBR ISO/IEC 38500:2018: Tecnologia da Informação. Governança de TI para organização. • ABNT NBR ISO/IEC 23894:2023: Information technology — Artificial intelligence — Guidance on risk management. • ISACA. (2018a). COBIT 2019 framework: objetivos de governança e gestão. DSS05.04 - Gerencia a identidade do usuário e o acesso lógico. • ISACA. (2018b). COBIT 2019 framework: Introdução e metodologia • ONS - Manual de Procedimentos da Operação - Módulo 5 – Submódulo 5.13 • Resolução Normativa Aneel no 964 DE 14/12/2021 • Modalidade de consulta “NIST - AI Risk Management Framework” NORMA Nome do Documento: NORMA PARA UTILIZAÇÃO DE INTELIGÊNCIA ARTIFICIAL NO AMBIENTE ENERGISA Versão: 0000 Data da Elaboração: 01/11/2023 Empresa: ENERGISA S.A. Área: VPT/GESC Identificação Do Documento: ESA|GESC|NRM-594|2023 Abrangência: TPDAS AS UNIDADES DO GRUPO ENERGISA _________________________________________________________________________________ Documento Controlado Versão 0000 Uso Interno Página 12 de 14 6- ANEXOS N/A _________________________________________________________________________________ Documento Controlado Versão 0000 Uso Interno Página 13 de 14 VIGÊNCIA DATA IMPLANTAÇÃO STATUS DATA DA ÚLTIMA REVISÃO DATA DA PRÓXIMAREVISÃO DESCRIÇÃO DO MOTIVO DA ALTERAÇÃO 03/11/2023 Vigente - 31/10/2024 - APROVAÇÃO NOME DO VALIDADOR CARGO DO VALIDADOR ASSINATURA DO VALIDADOR DATA Bruno Macena Diretor 01/11/2023 https://energisa.sharepoint.com/:b:/r/sites/PNE-PirmideNormativaEnergisa/Documentos%20Compartilhados/EVID%C3%8ANCIAS%20DE%20APROVA%C3%87%C3%95ES/GESC/NORMA/Aprova%C3%A7%C3%A3o%20NORMA%20PARA%20UTILIZA%C3%87%C3%83O%20DE%20INTELIG%C3%8ANCIA%20ARTIFICIAL%20NO%20AMBIENTE%20ENERGISA/Aprova%C3%A7%C3%A3o%20NORMA%20PARA%20UTILIZA%C3%87%C3%83O%20DE%20INTELIG%C3%8ANCIA%20ARTIFICIAL%20NO%20AMBIENTE%20ENERGISA.pdf?csf=1&web=1&e=0O1wHx