Entrar Ainda não tem acesso?
Solucionado (ver solução)
Solucionado
(ver solução)
4
respostas

[Projeto] Resolução do Case: Consultoria de Segurança e IA em Startup Global - 5H2H

Referente ao curso Gestão do Conhecimento: otimize a busca e a organização de informações com IA, no capítulo Segurança de informações, ética e IA e atividade Desafio

por DORIVAL RIBEIRO DE CARVALHO
| 11.7k xp | 36 posts

Olá Pessoal!!

No módulo de Gestão do Conhecimento, trabalhei no case da startup global buscando um foco prático.

Estruturei a solução via 5W2H para detalhar execução e custos teóricos, conectando com a ética e privacidade aprendidos na aula.

Nota: Assumi que a empresa possui políticas de segurança vigentes (legado). O orçamento foca apenas na modernização tecnológica, sem incluir custos de revisão da base atual. Aconselhável faze-lo;

Segue o planejamento::

O DIAGNÓSTICO (CONTEXTO DA AULA)

A empresa cresceu e a desorganização digital também. Identifiquei que a falta de regulamentações internas claras estava gerando implicações negativas na privacidade e riscos de segurança. (Se puderem compartilhar no fórum se na carreira de vocês, já estiveram em uma situação parecida ou conhecem algumas empresas que tem esse vieses, post aqui !!!)

Objetivo: Promover uma cultura de segurança robusta na gestão do conhecimento, garantindo integridade e confidencialidade.

O PLANO DE AÇÃO (MÉTODO 5W2H)

  1. WHAT (O que será feito?)

Implementação de uma Arquitetura de Segurança Zero Trust baseada em IA.
Foco Principal: Controle de Acesso Dinâmico e Proteção de Dados (DLP).

  1. WHY (Por que?)

Para mitigar os riscos associados à rápida evolução da tecnologia na empresa.

  • Problema: Funcionários têm acessos excessivos (violação do princípio do menor privilégio).
  • Risco: A expansão global aumentou a superfície de ataque para phishing e vazamento de propriedade intelectual.
  1. WHERE (Onde?)
  • Em todo o ambiente de nuvem da empresa (SaaS, Armazenamento de Documentos).
  • Nos endpoints (notebooks) dos colaboradores em todas as sedes globais.
  1. WHEN (Quando?)
  • Fase 1 (Imediata): Revogação manual de acessos críticos e ativação de backup imutável.
  • Fase 2 (Curto Prazo): Treinamento da IA para reconhecer padrões de comportamento (Machine Learning em modo de aprendizado).
  • Fase 3 (Médio Prazo): Ativação total dos bloqueios automatizados.
  1. WHO (Quem fará?)
  • Equipe de Segurança (SOC): Implementação técnica e configuração das regras."Times internos e parceiros externos, geridos através de contratos de nível de serviço (SLA) com previsões claras de penalidades."
  • Comitê de Ética / DPO: Monitoramento constante para evitar vieses algorítmicos (ex: garantir que a IA não bloqueie injustamente funcionários de filiais internacionais apenas por terem padrões de uso diferentes da sede).
  1. HOW (Como será feito? - Detalhado)

A estratégia técnica consiste em três pilares:

A) Classificação Automatizada (NLP): Utilizar IA de Processamento de Linguagem Natural para varrer documentos e aplicar tags automáticas (Confidencial, Interno, Público).
B) Monitoramento Comportamental (UEBA): A IA cria uma "linha de base" do funcionário.
Exemplo: Se o funcionário "A" sempre acessa arquivos de Marketing e tenta baixar o banco financeiro, a IA bloqueia e alerta.
C) Auditoria de Shadow AI: Agentes que detectam se dados da empresa estão sendo colados em IAs generativas públicas (como ChatGPT gratuito) e bloqueiam a ação no navegador.

  1. HOW MUCH (Estimativa de Custos)

Importante: Os valores apresentados não são reais, mas sim uma média ponderada de mercado baseada em levantamentos de serviços de sustentação de ambientes de redes e infraestrutura. Será necessária uma pesquisa mais apurada (RFP) para uma análise diretiva voltada à tomada de decisão.

- CUSTO DE FERRAMENTAS:
Licença de Suite de Segurança com IA. - plataformas de XDR (Extended Detection and Response).- Ex: - Microsoft Defender for Endpoint (Plano P2 ou E5), CrowdStrike Falcon; SentinelOne Singularity, entre outros.

Estimativa: R$ 150,00 a R$ 200,00 (por usuário/mês).

  • CUSTO DE CAPITAL HUMANO:
    Consultoria Especializada para Setup, referente a plataforma acima definida - Importante nesse processo de configuração importante fechar o contrato com um modulo handon, que capacitará a equipe interna sutentar pôs implementação
    Estimativa: R$ 25.000,00 (Projeto pontual).

  • CUSTO DE RISCO EVITADO:
    Multa por Vazamento (LGPD) e Danos à Reputação.
    Estimativa: Milhões de Reais (o custo de não fazer nada).

CONCLUSÃO E ÉTICA

A tecnologia sozinha não resolve. Conforme aprendemos no curso, é preciso navegar no mundo digital de forma responsável.

A IA é essencial para detectar ameaças em escala, mas a supervisão humana é obrigatória para garantir que a privacidade dos colaboradores seja respeitada e que a segurança não se torne uma ferramenta de vigilância excessiva.

# Para a turma:

Vocês consideraram o custo financeiro na solução de vocês? Como vocês lidariam com o risco da IA bloquear um trabalho legítimo (Falso Positivo) em um momento crítico?

Um abraço de Luz para todos!!!!

4 respostas
solução!
por Daniel Nogueira
| 1962.8k xp | 4384 posts
Alura Scuba Team Analista de Suporte Educacional

Olá, Dorival! Como vai?

Gostei demais do planejamento via 5W2H!

Sua resposta mostra uma excelente organização ao detalhar fases de implementação, uma visão prática ao incluir estimativas de custos e uma preocupação ética ao destacar a importância da supervisão humana na aplicação da IA.

Uma sugestão para o futuro seria aprofundar exemplos de como mitigar falsos positivos, trazendo cenários práticos de resposta rápida para não comprometer operações críticas.

Fico à disposição! E se precisar, conte sempre com o apoio do fórum.

Abraço e bons estudos!

AluraConte com o apoio da comunidade Alura na sua jornada. Abraços e bons estudos!
por DORIVAL RIBEIRO DE CARVALHO
| 11.7k xp | 36 posts

Olá, Daniel! Tudo excelente por aqui.

Muito obrigado pela análise detalhada! Fico contente que a estruturação via 5W2H e a inclusão da pauta orçamentária tenham demonstrado a visão prática que busquei imprimir no exercício. Acredito que, sem a viabilidade financeira, a melhor solução técnica acaba ficando apenas no papel.

Sua provocação sobre os falsos positivos toca no ponto nevrálgico da operação de segurança: o equilíbrio entre proteção e disponibilidade. É um excelente tema para aprofundar.

Pensando rápido em um cenário de mitigação, acredito que a chave estaria em um protocolo de "Break-Glass" ou um fluxo de exceção automatizado: o colaborador receberia o alerta de bloqueio com a opção de justificar a ação (ex: "Necessidade Operacional Crítica") para liberar o acesso momentaneamente, gerando um log de auditoria prioritário para o time de segurança revisar depois. Assim, não travamos a operação, mas mantemos a rastreabilidade.

Vou levar essa reflexão para refinar os próximos planejamentos. Agradeço demais o apoio!

Um abraço de luz!

por Gustavo Pantoja de Miranda Capinan
| 8.3k xp | 15 posts
CEO

Olá Daniel! Achei muito interessante a técnica 5w2h, sou formado em ADM de Empresas.
Fica minha humilde contribuição.

Análise Acadêmica sobre Custos e Riscos de Falsos Positivos na Implementação de IA em Segurança da Informação

A implementação de soluções baseadas em Inteligência Artificial na gestão do conhecimento e na segurança da informação exige uma abordagem integrada que considere não apenas os aspectos tecnológicos, mas também os impactos financeiros, operacionais e éticos.

  1. Consideração dos Custos Financeiros

Sim, o custo financeiro deve ser considerado como elemento estratégico da solução, e não apenas como despesa operacional. A adoção de plataformas de segurança com IA (como XDR, DLP e UEBA) envolve investimentos em licenciamento, consultoria especializada, capacitação de equipes e manutenção contínua.

Entretanto, esses custos devem ser analisados sob a ótica do custo de risco evitado, especialmente em relação a:

Multas previstas na LGPD por vazamento de dados,

Danos à reputação institucional,

Perda de propriedade intelectual e vantagem competitiva.

Dessa forma, o investimento em segurança com IA se justifica como medida preventiva de governança, reduzindo significativamente o impacto financeiro de incidentes futuros. Em termos de gestão, trata-se de um típico caso de trade-off entre custo imediato e sustentabilidade organizacional a longo prazo.

  1. Gestão do Risco de Falsos Positivos da IA

O risco de a IA bloquear atividades legítimas (falsos positivos) é real e deve ser tratado como parte do desenho da solução. Para mitigar esse problema, são recomendadas as seguintes práticas:

Fase de aprendizado supervisionado: permitir que a IA opere inicialmente em modo de observação, construindo linhas de base comportamentais antes de aplicar bloqueios automáticos.

Política de dupla validação: ações críticas bloqueadas pela IA devem gerar alerta para validação humana (SOC), evitando interrupções indevidas em atividades estratégicas.

Atuação do Comitê de Ética e DPO: garantir que decisões automatizadas não gerem discriminação, vieses regionais ou impacto desproporcional em filiais internacionais.

Mecanismos de exceção controlada: permitir liberações emergenciais mediante justificativa formal e registro em auditoria.

Essa abordagem garante o equilíbrio entre segurança e continuidade do negócio, evitando que a proteção se transforme em obstáculo operacional.

  1. Integração entre Tecnologia, Ética e Governança

Conforme os princípios da Gestão do Conhecimento e da Ética Digital, a IA deve ser utilizada como ferramenta de apoio à decisão, e não como substituta do julgamento humano. A supervisão contínua é essencial para:

Preservar a privacidade dos colaboradores,

Evitar vigilância excessiva,

Assegurar que a segurança seja aplicada de forma proporcional, justa e transparente.

Assim, a solução proposta alinha-se às boas práticas de governança corporativa, promovendo uma cultura organizacional baseada em responsabilidade, confiança e proteção da informação.

Conclusão

Conclui-se que o custo financeiro da implementação de IA em segurança é justificável frente aos riscos mitigados, e que o problema dos falsos positivos pode ser controlado por meio de governança, supervisão humana e desenho ético da solução. A eficácia da estratégia depende diretamente do equilíbrio entre automação inteligente, controle humano e responsabilidade institucional.

por DORIVAL RIBEIRO DE CARVALHO
| 11.7k xp | 36 posts

Oi, Gustavo!

Rapaz, que aula hein? Mesmo endereçada ao Daniel, sua visão de administrador caiu como uma luva no meu projeto.

Concordo 100% com você: o equilíbrio entre tecnologia e governança é tudo. Se não tiver esse "olhar humano" para validar o que a IA está fazendo, a gente acaba travando a empresa em vez de proteger. Vou levar seus pontos sobre "risco evitado" para o meu relatório final.

Infelizmente esse é meu último post por aqui, já que meu pacote de cursos pela empresa acabou. Mas não queria sair sem agradecer essa contribuição rica.

Bora manter essa conexão lá no LinkedIn? O link está aqui embaixo, espero você lá para acompanharmos as novidades do mercado.

https://www.linkedin.com/in/dorival-ribeiro-de-carvalho

Obrigado pela contribuição e um abraço de luz!

Tópicos relacionados

Mostrar mais tópicos Mostrar menos tópicos

Conteúdos Alura com o tema

Trilhas por carreira

Carreiras de IA

Carreiras de Dados

Carreiras de Cyber

Carreiras de DevOps & Cloud

Carreiras de UX & UI

Carreiras de Mobile & Front-End

Carreiras de Back-End

Carreiras de Negócios

Cursos universitários FIAP

Graduação | Pós-graduação | MBA