Por Aurélio Maia, Consulting Services Director da Devoteam Cyber Trust
A resiliência tecnológica deixou de ser uma questão binária em que os sistemas estavam simplesmente operacionais ou indisponíveis. Durante décadas, a gestão de risco concentrou-se em falhas visíveis como interrupções, quebras de serviço ou incidentes de segurança evidentes. Com a adoção generalizada da Inteligência Artificial (IA), surgiu uma nova tipologia de risco: a falha silenciosa. Uma organização pode manter níveis de disponibilidade técnica elevados e, ainda assim, sofrer degradação progressiva de valor através de previsões imprecisas, enviesamentos algorítmicos ou decisões automatizadas incorretas que não interrompem operações, mas afetam reputação, desempenho e conformidade legal.
Perante este cenário, a questão estratégica deixa de ser apenas “o sistema funciona?” e passa a ser “o sistema está a funcionar corretamente, de forma fiável e ética?”. A resposta não exige estruturas paralelas complexas, mas sim a aplicação consistente de referenciais internacionais de gestão. As normas desenvolvidas pela International Organization for Standardization constituem padrões globais reconhecidos, adotados em mais de 170 países, que fornecem modelos auditáveis baseados em avaliação de risco, melhoria contínua e responsabilização organizacional. As normas ISO são referenciais internacionais e asseguram o alinhamento com as melhores práticas, garantindo reconhecimento externo às organizações certificadas.
A publicação da ISO/IEC 42001, em 2023, representa o primeiro referencial internacional específico para sistemas de gestão da IA. A sua estrutura segue o modelo harmonizado utilizado por normas como a ISO/IEC 27701 e a ISO 22301, permitindo integração direta com sistemas de gestão já implementados. Esta compatibilidade estrutural evita redundâncias, reduz custos administrativos e possibilita uma abordagem unificada ao risco tecnológico, incluindo o risco algorítmico.
A integração é particularmente relevante face às vulnerabilidades próprias da IA, como o envenenamento de modelos, a perda de qualidade dos dados de treino ou a introdução de enviesamentos discriminatórios. Enquanto a segurança tradicional protege infraestruturas e informação, a governação integrada estende os controlos à integridade dos modelos, à rastreabilidade das decisões automatizadas e à documentação técnica necessária para demonstrar conformidade ética, regulatória e contratual. Assim, a organização passa a dispor de evidência objetiva da sua diligência, elemento crucial num contexto regulatório cada vez mais exigente.
Também na continuidade de negócio se verifica uma evolução conceptual. Não basta restaurar rapidamente um sistema; é necessário garantir que o seu desempenho, precisão e imparcialidade permanecem dentro de parâmetros aceitáveis após uma falha. A gestão baseada em normas internacionais permite incorporar métricas qualitativas e quantitativas que asseguram que a recuperação é técnica e funcionalmente adequada, protegendo não apenas a operação, mas a confiança dos stakeholders.
Num ambiente económico e regulatório em transformação, a confiança na IA torna-se um ativo estratégico. A aplicação integrada de normas internacionais reconhecidas, sustentada por dados oficiais de adoção global, não constitui apenas uma medida de conformidade. Representa um investimento estruturado em resiliência, transparência e vantagem competitiva sustentável, permitindo às organizações inovar com controlo e credibilidade no mercado nacional e internacional.
