À medida que a IA se torna integrada em navegadores, plataformas SaaS, extensões, copilotos e fluxos de trabalho autônomos emergentes, as organizações precisam de uma nova camada de governança que opere no momento da interação.

Essa exigência altera a definição de "bom" em governança de IA. A avaliação de fornecedores precisa ir além de promessas vagas e se concentrar em critérios concretos e comparáveis, abrangendo descoberta, avaliação contextual de riscos, governança baseada em políticas, aplicação em tempo real, auditabilidade, adequação operacional e preparação para o futuro.

Nossa Guia de RFP para Avaliação de Soluções de Controle de Uso de IA Foi desenvolvido para ajudar líderes de segurança, conformidade e TI a avaliar sistematicamente soluções de Controle de Uso de IA (AUC) de forma consistente e comparativa.

Por que usar um modelo de RFP para avaliação de fornecedores de controle de uso de IA?

O controle do uso da IA ​​não é uma única funcionalidade. É um conjunto de capacidades que precisam operar em todas as formas de acesso e uso da IA, e resistir a restrições operacionais reais.

Este guia ajuda a acelerar a pesquisa, fortalecer as decisões e permitir a adoção segura da IA ​​em toda a organização, padronizando o que os fornecedores devem responder e como devem responder.

Quais devem ser os critérios de avaliação de uma plataforma de Controle de Uso de IA?

O guia está organizado em oito seções, cada uma correspondendo a uma área de requisitos específica em um programa de governança de IA empresarial.

  1. Descoberta e cobertura de IA
    Como o uso da IA ​​é continuamente descoberto e monitorado em todos os caminhos de acesso e ambientes. 
  2. Avaliação de riscos e consciência contextual em IA
    Como a solução avalia o risco de IA em tempo real, analisando o conteúdo da solicitação, a sensibilidade dos dados, a identidade e o contexto de acesso. 
  3. Governança de uso de IA baseada em políticas
    Como políticas granulares e sensíveis ao contexto são definidas e aplicadas para permitir, restringir ou bloquear ações de IA arriscadas. 
  4. Aplicação em tempo real no momento da interação
    Como os controles são aplicados no momento da interação com a IA, antes que dados sensíveis sejam expostos ou ações de risco sejam concluídas. 
  5. Monitoramento, alertas e auditabilidade
    Como a atividade de IA é registrada, monitorada e auditada para dar suporte às operações de segurança, conformidade e resposta a incidentes. 
  6. Adequação da arquitetura e prontidão operacional
    Como os controles de IA são aplicados no ponto de interação sem sobrecarga arquitetônica ou operacional. 
  7. Implantação e Gestão
    Como a solução é implantada, dimensionada e gerenciada em diferentes usuários, navegadores, dispositivos e ambientes com sobrecarga operacional mínima. 
  8. Preparação e proteção do fornecedor para o futuro
    Avalia o suporte do fornecedor, a escalabilidade e a capacidade de adaptação aos riscos, ferramentas e requisitos de governança em constante evolução da IA. 

O que significa, na prática, "descoberta e cobertura por IA"?

O objetivo é simples: estabelecer uma visibilidade completa e contínua de como a IA é utilizada em toda a organização.

Na prática, o guia incentiva os fornecedores a comprovarem a abrangência em diferentes ambientes, navegadores e caminhos de acesso, e não a evitarem esses aspectos. Ele questiona se um fornecedor consegue detectar o uso de IA em navegadores, aplicativos SaaS, extensões, aplicativos nativos, IDEs e fluxos de trabalho com agentes.

O guia questiona se um fornecedor oferece suporte à abrangência das aplicações de IA atualmente disponíveis, incluindo:

  • Compatibilidade com vários navegadores, incluindo Chrome, Edge, Safari, Brave, Arc e outros.
  • Detecção e cobertura de navegadores por IA, incluindo Atlas, Dia, Genspark, Comet e outros.
  • Controle do painel lateral em navegadores com IA
  • A capacidade de distinguir e controlar ações tanto do usuário quanto do agente.
  • Detecção de IA SaaS incorporada em plataformas como CRM, e-mail e ferramentas de colaboração.
  • Detecção de IA baseada em navegador para ferramentas como ChatGPT, Claude e Gemini.
  • Detecção de IA baseada em desktop para ferramentas nativas como ChatGPT e Copilot
  • Detecção e controle de plugins de IDE
  • Detecção de extensões, incluindo extensões de navegador com inteligência artificial que atuam como intermediárias.

Em seguida, aborda os princípios básicos de governança que muitas vezes são ignorados durante a avaliação, embora alterem o perfil de risco:

  • Inteligência artificial sancionada versus inteligência artificial paralela (BYOAI) e como as ferramentas não autorizadas são detectadas.
  • Atribuição de usuário para atividade de IA
  • Mapeamento e diferenciação de identidades, incluindo identidades corporativas versus pessoais, e identidades autenticadas versus não autenticadas.
  • Identificação do tipo de conta (comercial ou pessoal) e se os dados estão sujeitos a treinamento de modelo.
  • Suporte para modo anônimo e privado
  • Visibilidade da conversa, incluindo conversas passadas e ativas com IA, sugestões e respostas.

Como avaliar riscos e políticas sem recorrer a palpites?

O guia separa a avaliação de riscos da aplicação de políticas e, em seguida, pede aos fornecedores que expliquem ambas.

Para a avaliação de riscos, o objetivo é claro.
Priorize a governança da IA ​​com base no risco dinâmico, em vez de suposições estáticas.

Isso significa avaliar se a solução consegue levar em conta como a IA é acessada (navegador, extensão, SaaS incorporado, API, agente), detectar padrões de uso de IA arriscados ou anômalos com base no comportamento e contexto, e considerar a função do usuário, o tipo de identidade, a configuração do dispositivo e o contexto da sessão.

Inclui também a avaliação de risco de extensão como um requisito definido.
Você consegue analisar todas as extensões de navegador com inteligência artificial instaladas pelos usuários e bloquear as que forem consideradas de risco?

Em termos de políticas públicas, o objetivo também é explícito.
Traduzir a intenção da governança em controles aplicáveis ​​e concretos no mundo real.

Esta seção testa se as políticas abrangem as ações em que a exposição ocorre, incluindo solicitações, uploads, copiar/colar e respostas. Também testa o bloqueio de dados sensíveis para informações pessoais identificáveis ​​(PII), informações de saúde protegidas (PHI) e propriedade intelectual (IP), além da capacidade de detectar e bloquear injeções de solicitações em navegadores de IA.

Não se limita a uma única ação de aplicação de políticas. Questiona se os fornecedores suportam múltiplos modos de aplicação, como Permitir, Monitorar, Avisar, Ignorar com Justificativa, Bloquear e Redigir, e se as políticas podem ser aplicadas de forma consistente em navegadores, SaaS, extensões e agentes.

Como testar a aplicação de medidas em tempo real no momento da interação?

O guia trata o controle do tempo de interação como uma área de avaliação distinta, com um objetivo específico: controlar o risco da IA ​​no momento em que ele ocorre.

A questão é se uma solução consegue inspecionar solicitações, entradas, uploads e respostas em tempo real e se a aplicação de regras leva em conta a intenção, a identidade e o contexto da sessão.

Também testa as realidades operacionais que determinam se os controles funcionam na prática:

  • Detecção e aplicação de medidas contra anomalias, uso indevido, violações de políticas ou comportamento anômalo.
  • Controles não disruptivos que não interrompem os fluxos de trabalho nem degradam o desempenho.
  • Controles à prova de intrusão que minimizam as tentativas dos usuários de burlar as políticas ou adotar soluções alternativas não gerenciadas.
  • Orientação ao usuário por meio de avisos, explicações ou orientações em tempo real quando as ações violarem as políticas.

Como transformar as respostas dos fornecedores em uma decisão defensável?

O guia inclui um processo de avaliação simples, concebido para comparação lado a lado.

  1. Analise cada seção para compreender os requisitos. 
  2. Distribua o pedido de propostas aos fornecedores de controle de uso de IA pré-selecionados. 
  3. Solicite que cada fornecedor preencha a coluna "Resposta" para cada requisito com:
     Resposta de sim ou não.
     Descrição detalhada da capacidade e fornecimento de referências, quando aplicável. 
  4. Analise e compare as respostas para identificar o fornecedor que melhor atenda às suas necessidades de governança, segurança, operacionais e de produtividade.

A vantagem prática reside na consistência. Todos os fornecedores atendem aos mesmos requisitos, no mesmo formato, nos mesmos domínios, com referências.

É assim que se passa das impressões às evidências.

O que você deve fazer a seguir?

Se a IA estiver incorporada em navegadores, plataformas SaaS, extensões, copilotos e fluxos de trabalho de agentes emergentes, a governança precisa operar no momento da interação.

Este guia padroniza os critérios de avaliação para que os fornecedores possam ser avaliados de forma consistente, lado a lado, em relação aos requisitos reais da governança de IA empresarial, incluindo descoberta, avaliação contextual de riscos, governança baseada em políticas, aplicação em tempo real, auditabilidade, adequação operacional e preparação para o futuro.

Baixe o Guia de Solicitação de Propostas para Avaliação de Soluções de Controle de Uso de IA