Comprehensive AI Risk Assessment · IT SECURE

Serviço · Comprehensive AI Risk Assessment

Riscos de IA para quem toma
decisões que realmente
importam.

Avaliação abrangente de riscos em seis dimensões críticas: segurança da informação e TI, riscos específicos de IA, continuidade de negócios, cadeia de fornecimento, privacidade e proteção de dados, e riscos psicossociais (NR-1) — com metodologias internacionais e entregas acionáveis para a liderança.

Por que avaliar riscos de IA agora

A responsabilidade pela gestão de riscos em sistemas de IA não está no time de TI. Está no conselho de administração e na camada executiva.

A adoção de IA está expandindo o horizonte de riscos corporativos de forma acelerada — e os frameworks tradicionais de segurança da informação não foram projetados para cobrir essa fronteira. O NIST AI RMF 1.0 é explícito: frameworks anteriores são insuficientes para gerenciar vieses prejudiciais, riscos de IA generativa, ataques de evasão e extração de modelos, e dependências de terceiros em cadeias de tecnologia de IA.

Além dos riscos técnicos, a LGPD está em vigor, a NR-1 com gestão de riscos psicossociais entra em vigor em 26 de maio de 2026 (Portaria MTE 765/2025), e o PL de IA avança no Congresso Nacional com obrigações de governança para sistemas de alto risco. Risco de IA é risco de negócio, regulatório e trabalhista simultaneamente.

Estruturamos a avaliação em seis dimensões que podem ser contratadas de forma integrada — o Comprehensive AI Risk Assessment — ou individualmente, conforme a maturidade e as prioridades da organização.

🔐

Segurança da Informação e TI

Superfície de ataque, infraestrutura, APIs expostas, ataques específicos de ML e integridade de dados de treinamento

🤖

Riscos Específicos de IA

Viés algorítmico, opacidade de modelos, uso fora de escopo, IA generativa e ausência de supervisão humana

🔄

Continuidade de Negócios

Dependência crítica de sistemas de IA, falhas de modelos em produção e ausência de planos de contingência

🏭

Cadeia de Fornecimento

Riscos de terceiros em APIs de LLM, fornecedores de dados, SDKs e componentes com IA embarcada

🔒

Privacidade e Proteção de Dados

Tratamento de dados pessoais em pipelines de IA, DPIA, conformidade técnica com LGPD e ISO/IEC 27701:2019

👥

Riscos Psicossociais (NR-1)

Impactos à saúde mental na implantação de IA — obrigação legal vigente em 26/mai/2026

🔐

Dimensão 01

Segurança da Informação
e Infraestrutura de TI

Identificação e tratamento dos riscos que ameaçam a confidencialidade, integridade e disponibilidade dos sistemas e dados que suportam os modelos e pipelines de IA da organização.

Riscos que avaliamos

Superfície de ataque expandida pela infraestrutura de hospedagem de modelos

APIs de modelos expostas sem controles adequados de autenticação e autorização

Ataques de evasão — manipulação de inputs para contornar controles do modelo

Extração de modelo via inferência — reconstrução do modelo a partir de outputs

Envenenamento de dados de treinamento comprometendo integridade do modelo

Vulnerabilidades em pipelines de MLOps e infraestrutura de dados

Acesso não autorizado a dados sensíveis usados no treinamento e fine-tuning

Riscos em integrações com sistemas legados e plataformas de terceiros

Metodologias e frameworks

NIST CSF 2.0 Framework para medição de maturidade e priorização de controles de segurança baseada em risco

NIST SP 800-53 r5 Catálogo de controles de segurança e privacidade para sistemas de informação — incluindo controles específicos para IA

NIST SP 800-218 Secure Software Development Framework — segurança integrada ao ciclo de vida de desenvolvimento de IA

ISO/IEC 27001:2022 Sistema de gestão de segurança da informação — base normativa para controles e governança

O que entregamos

🎯 Matriz de riscos de segurança com ameaças, vulnerabilidades, probabilidade e impacto classificados

📊 Avaliação de maturidade dos controles existentes frente ao NIST CSF 2.0 e ISO/IEC 27001:2022

📋 Plano de tratamento com controles técnicos priorizados por criticidade e viabilidade de implantação

📈 Relatório executivo com perfil de exposição e recomendações para a alta liderança

⚖️ Análise de lacunas de conformidade técnica em relação à ISO/IEC 27001:2022 e NIST SP 800-53 r5

🤖

Dimensão 02

Riscos Específicos de
Sistemas de Inteligência Artificial

Identificação e tratamento dos riscos que emergem da natureza sociotécnica dos sistemas de IA — que nenhum framework de segurança tradicional foi projetado para cobrir integralmente.

Riscos que avaliamos

Viés sistêmico, computacional e cognitivo em modelos de decisão automatizada

Opacidade algorítmica — ausência de explicabilidade e auditabilidade de decisões

Uso de modelos fora do escopo original para o qual foram treinados

Riscos específicos de IA generativa — alucinações, deepfakes e geração de conteúdo prejudicial

Ausência de supervisão e intervenção humana em decisões de alto impacto

Deriva de modelo — degradação de performance ao longo do tempo sem monitoramento

Ausência de processos formais de TEVV ao longo do ciclo de vida do sistema

Riscos de transferência de aprendizado e fine-tuning de modelos fundacionais

Metodologias e frameworks

NIST AI 100-1 AI RMF 1.0 — framework principal para mapear, medir, gerenciar e governar riscos de IA

ISO/IEC 42001:2023 Sistema de gestão de IA — governança, responsabilidade e controles auditáveis ao longo do ciclo de vida

ISO/IEC 23894 Orientações sobre gestão de riscos de IA — complementa o NIST AI RMF com perspectiva ISO

ISO/IEC TS 5723 Vocabulário de confiabilidade — base para avaliação das características de sistemas confiáveis de IA

O que entregamos

🎯 Matriz de riscos de IA por sistema, com classificação por probabilidade, impacto e contexto de uso

🔍 Avaliação das características de confiabilidade — validade, segurança, explicabilidade, justiça e privacidade

📋 Plano de tratamento com controles técnicos e organizacionais alinhados ao NIST AI RMF (GOVERN, MAP, MEASURE, MANAGE)

📈 Roadmap de maturidade em governança de IA com referência à ISO/IEC 42001:2023

⚖️ Análise de conformidade técnica com o PL de IA em tramitação no Congresso Nacional e com o EU AI Act como referência

🔄

Dimensão 03

Continuidade de Negócios
e Resiliência Operacional com IA

Análise das ameaças que podem interromper operações críticas dependentes de sistemas de IA — e da capacidade real da organização de manter funções essenciais quando esses sistemas falham ou produzem resultados inesperados.

Riscos que avaliamos

Dependência crítica de sistemas de IA sem planos de contingência documentados

Indisponibilidade de APIs de LLM de terceiros sem SLA ou alternativa operacional

Falha de modelos em produção com impacto em processos críticos de negócio

Ausência de procedimentos de fallback para operação sem sistemas de IA

Incidentes cibernéticos em infraestrutura de IA com impacto na continuidade

Falta de testes e exercícios dos planos de recuperação de sistemas de IA

Concentração de dependências em único fornecedor de plataforma de IA

Ausência de RTO e RPO definidos para sistemas de IA em processos críticos

Metodologias e frameworks

ISO 22301:2019 Requisitos para sistemas de gestão de continuidade de negócios — base da avaliação de resiliência

NIST SP 800-34 r1 Guia de planejamento de continuidade para sistemas de informação — BIA e DRP aplicados a sistemas de IA

NIST CSF 2.0 Funções Responder e Recuperar — capacidade de contenção e retomada após falhas em sistemas de IA

NIST SP 800-161 r1 Gestão de riscos em cadeia de suprimentos de TI — aplicada a fornecedores de modelos e plataformas de IA

O que entregamos

🗺️ Mapeamento de processos críticos de negócio e suas dependências em sistemas de IA

⏱️ Análise de impacto nos negócios (BIA) com RTO e RPO por sistema de IA em processos críticos

🎯 Matriz de riscos de continuidade com cenários de falha de IA e probabilidade de ocorrência

🔍 Avaliação dos planos de continuidade existentes e identificação de lacunas relacionadas a IA

📋 Recomendações para estruturação de planos de contingência e procedimentos de fallback para sistemas de IA

📈 Relatório executivo com nível de resiliência atual e roadmap de fortalecimento para sistemas de IA críticos

🏭

Dimensão 04

Riscos na Cadeia de
Fornecimento de IA

Avaliação dos riscos introduzidos por terceiros que fornecem modelos, dados, APIs, plataformas e componentes de IA — incluindo conformidade técnica, SLAs, dependências ocultas e riscos de concentração.

Riscos que avaliamos

Dependência de APIs de LLM de terceiros sem avaliação formal de risco

Ausência de SLA adequado em fornecedores de modelos fundacionais

Riscos em SDKs e bibliotecas de IA com vulnerabilidades não monitoradas

Fornecedores de dados de treinamento sem garantias de qualidade e licenciamento

Concentração em único provedor de plataforma de IA sem alternativa operacional

Transferência de dados pessoais a fornecedores de IA sem base legal adequada

Subcontratação de IA por fornecedores primários sem transparência

Ausência de due diligence de segurança em fornecedores de componentes de IA

Metodologias e frameworks

NIST SP 800-161 r1 Gestão de riscos de cibersegurança na cadeia de suprimentos — referência principal para fornecedores de IA

ISO/IEC 27001:2022 Controle A.5.19 — segurança da informação em relacionamentos com fornecedores

NIST AI 100-1 Riscos de terceiros em IA — uso fora de escopo, fine-tuning e dependências de modelos fundacionais

ISO 22301:2019 Resiliência de fornecedores críticos — avaliação de continuidade na cadeia de suprimentos de IA

O que entregamos

🗺️ Mapeamento de fornecedores de IA — modelos, dados, plataformas, SDKs e APIs — com classificação por criticidade

🎯 Matriz de riscos de cadeia de fornecimento com avaliação de dependências e concentrações críticas

📋 Recomendações de diversificação e requisitos de due diligence para novos fornecedores

📈 Relatório executivo com perfil de dependência e exposição da cadeia de fornecimento de IA

🔒

Dimensão 05

Privacidade e Proteção de Dados
em Sistemas de IA

Avaliação dos riscos de privacidade introduzidos pelo tratamento de dados pessoais em pipelines de IA — com base na LGPD, ISO/IEC 27701:2019 e nos princípios de Privacy by Design e Trustworthy by Design.

Riscos que avaliamos

Tratamento de dados pessoais em prompts e interações com LLMs sem base legal adequada

Uso de dados pessoais em treinamento e fine-tuning sem consentimento ou outro fundamento legal

Ausência de minimização de dados em pipelines de IA — coleta além do necessário

Transferência de dados pessoais a fornecedores de IA no exterior sem salvaguardas adequadas

Geração de conteúdo sintético com dados pessoais indistinguíveis de dados reais

Ausência de DPIA para sistemas de IA que tomam decisões automatizadas com impacto sobre pessoas

Falta de transparência com titulares sobre uso de IA em decisões que os afetam

Violação do princípio de finalidade — uso de dados para IA além da finalidade original coletada

Metodologias e frameworks

LGPD Art. 46 Proteção de dados desde a concepção — Privacy by Design como obrigação legal do controlador

ISO/IEC 27701:2019 Sistema de gestão de privacidade — extensão da ISO 27001 para tratamento de dados pessoais em IA

EDPB GL 4/2019 Data Protection by Design and by Default — requisitos técnicos e organizacionais de referência

NIST Privacy FW Framework de privacidade do NIST — complementar ao AI RMF para riscos de privacidade em IA

O que entregamos

🎯 Matriz de riscos de privacidade com classificação por impacto aos direitos dos titulares

📋 Plano de tratamento com controles de Privacy by Design integrados ao ciclo de vida dos sistemas de IA

📈 Análise de lacunas de conformidade técnica com LGPD, ISO/IEC 27701:2019 e EDPB Guidelines 4/2019

👥

Dimensão 06 · Obrigação Legal em vigor em 26/mai/2026

Riscos Psicossociais na
Implantação de Sistemas de IA (NR-1)

A NR-1 (subitem 1.5.3.1.4, Portaria MTE 1.419/2024) torna obrigatório o gerenciamento de fatores de riscos psicossociais no GRO — incluindo os decorrentes da implantação de sistemas de IA. Vigência: 26 de maio de 2026.

Riscos que avaliamos

Sobrecarga cognitiva decorrente da supervisão de sistemas de decisão automatizada

Insegurança profissional e medo de substituição na transição para processos com IA

Opacidade de decisões de IA que afetam diretamente trabalhadores sem possibilidade de contestação

Descompasso entre competências exigidas e competências disponíveis nas equipes

Perda de autonomia profissional em processos altamente automatizados por IA

Ausência de comunicação e participação dos trabalhadores nas decisões de implantação de IA

Falta de suporte e capacitação adequados para operação de sistemas de IA

Monitoramento excessivo por sistemas de IA gerando pressão e ansiedade

Metodologias e frameworks

NR-1 1.5.3.1.4 Gestão de fatores de riscos psicossociais no GRO — Portaria MTE 1.419/2024, vigência 26/mai/2026

NR-17 Ergonomia — Avaliação Ergonômica Preliminar (AEP) e Avaliação Ergonômica Aprofundada (AET)

NIST AI 100-1 Dimensão People & Planet — impacto de sistemas de IA sobre indivíduos, grupos e comunidades

ISO/IEC 42001:2023 Considerações sobre impacto humano e social no sistema de gestão de IA — requisitos de responsabilidade

O que entregamos

🗺️ Mapeamento dos trabalhadores e funções impactados pela implantação dos sistemas de IA em escopo

🎯 Riscos psicossociais relacionados à IA para integração ao GRO conforme NR-1

📋 Plano de ação para o GRO com medidas de prevenção e controle dos riscos psicossociais identificados

🔍 Análise de lacunas de conformidade técnica com NR-1 (subitem 1.5.3.1.4) e NR-17 para contextos de IA

📈 Recomendações de comunicação, capacitação e participação dos trabalhadores no processo de implantação

⚖️ Relatório executivo com perfil de exposição trabalhista e recomendações para RH, Jurídico e liderança

Nossa abordagem

Do levantamento interno ao
plano aprovado pelo Board

Seguimos um processo estruturado e repetível para cada avaliação — com entrevistas junto às áreas internas garantindo que os riscos mapeados sejam os riscos reais do contexto da organização, não os genéricos de um checklist.

Kick-off executivo

Alinhamento de escopo com C-Level, identificação dos sistemas de IA em análise e definição de stakeholders internos.

Levantamento por área

Entrevistas com TI, Jurídico, RH, Compliance e Operações. Coleta de documentação técnica e organizacional.

Identificação de riscos

Mapeamento sistemático nas seis dimensões — com base em ISO 31000:2018 e NIST AI RMF funções MAP e MEASURE.

Avaliação e priorização

Classificação por probabilidade e impacto de negócio, regulatório e trabalhista — cruzando riscos inter-relacionados.

Tratamento e entrega

Plano de tratamento priorizado e relatórios diferenciados — executivo para o Board, técnico para CIO e CISO.

Resultados concretos

Entregas que apoiam
decisões estratégicas

Além dos entregáveis específicos de cada dimensão, o Comprehensive AI Risk Assessment resulta em artefatos consolidados que suportam a governança, auditorias, certificações ISO/IEC 42001:2023 e programas de segurança de longo prazo.

📊

Relatório Executivo de Riscos de IA

Síntese multidisciplinar em linguagem de negócio para apresentação ao Board e à alta liderança

📋

Plano de Tratamento de Riscos

Ações priorizadas por criticidade com responsáveis, prazos e referências normativas vinculadas

🎯

Matriz Multidisciplinar de Riscos

Registro formal de todos os riscos identificados nas seis dimensões — base para auditorias e certificações

⚖️

Análise de Lacunas Regulatórias

Gaps em relação à LGPD, NR-1, ISO/IEC 42001:2023 e PL de IA — com priorização por exposição legal

🔭

Briefing para Conselho de Administração

Apresentação executiva para sessão deliberativa — risco, exposição legal e decisões requeridas

O Comprehensive AI Risk Assessment alimenta toda a nossa oferta de serviços

🛡️

Consultoria em Segurança da Informação

Do diagnóstico à implantação de controles — consultoria estratégica e técnica integrada com visão de negócio.

📋

Conformidade ISO e LGPD

Implantação de sistemas de gestão ISO 27001, ISO 27701, ISO 42001 e ISO 22301 com base no assessment.

🎓

Capacitação In-Company

Treinamentos sobre riscos de IA, governança, privacidade e NR-1 para equipes técnicas e liderança.

Fale com a IT SECURE

Decisões melhores sobre IA
começam por riscos bem avaliados.

Entre em contato para conversarmos sobre os sistemas de IA e os contextos de risco que mais preocupam sua organização. A conversa inicial — sem custo e sem compromisso — já nos permite identificar quais dimensões e metodologias são mais relevantes para a sua realidade.

🎯

Avaliação parcial ou completaContrate apenas as dimensões relevantes ou o Comprehensive AI Risk Assessment integrado — conforme sua prioridade e maturidade.

🏅

Sócios com CISSP e CDPSE em campoCarlos Bernardo e Rafael Batista conduzem pessoalmente cada etapa — sem consultor intermediário entre a organização e quem tem a expertise.

🔗

Direto ou via parceiroAtendemos diretamente ou como extensão técnica especializada em IA do seu parceiro estratégico em modelo white label.

💬