Translate

Mostrar mensagens com a etiqueta Shadow AI. Mostrar todas as mensagens
Mostrar mensagens com a etiqueta Shadow AI. Mostrar todas as mensagens

terça-feira, 24 de dezembro de 2024

Shadow AI: O Novo "Shadow IT" que Pode Colocar Bancos, Mainframes e sua Carreira em Risco

 

Bellacosa Mainframe e o perigo do shadow ai

☕ Um Café no Bellacosa Mainframe

Shadow AI: O Novo "Shadow IT" que Pode Colocar Bancos, Mainframes e sua Carreira em Risco

"A IA não é o problema. O problema é quando ela conhece mais sobre sua empresa do que deveria."

Durante muitos anos, quem trabalhava com IBM Mainframe aprendeu uma regra quase sagrada:

Dados são patrimônio da empresa.

Um programa COBOL pode ser recompilado.

Um JCL pode ser recriado.

Uma procedure pode ser reescrita.

Mas um cadastro de clientes, um histórico financeiro ou uma regra de negócio construída durante quarenta anos... isso não tem preço.

Agora imagine entregar tudo isso gratuitamente para uma inteligência artificial pública apenas porque ela respondeu sua dúvida em dez segundos.

Parece exagero?

Infelizmente, não é.

Estamos entrando em uma nova era chamada Shadow AI, e ela talvez seja o maior desafio de governança desde o surgimento da Internet corporativa.

Pegue seu café.

Hoje vamos conversar sobre um assunto que todo programador COBOL, analista de sistemas, DBA, administrador z/OS, gerente de TI e arquiteto de soluções deveria entender.


Antes de existir Shadow AI existia Shadow IT

Quem trabalha há décadas em TI provavelmente já viveu isso.

A área de Segurança dizia:

— Não pode usar Dropbox.

No dia seguinte alguém aparecia usando Google Drive.

Bloquearam o Google Drive.

Os usuários passaram a usar OneDrive pessoal.

Bloquearam tudo.

Começaram a enviar arquivos pelo WhatsApp.

Nada disso era maldade.

Era produtividade.

Quando o processo oficial demora muito, as pessoas encontram atalhos.

Esse comportamento recebeu um nome:

Shadow IT.

São recursos tecnológicos utilizados sem aprovação da organização.

Hoje aconteceu exatamente a mesma coisa.

Só que muito maior.

Agora não estamos escondendo arquivos.

Estamos escondendo inteligência.


O nascimento da Shadow AI

Imagine um desenvolvedor COBOL.

Ele recebe um programa com 18 mil linhas.

Foi escrito em 1987.

Possui centenas de PERFORM.

GO TO espalhados.

COPYBOOKs enormes.

Variáveis chamadas:

WK001
WK002
WK003
TEMP1
TEMP2
FLAG-A
FLAG-B

Depois de duas horas tentando entender o código ele pensa:

"Vou perguntar para uma IA."

Abre uma ferramenta pública.

Copia o programa.

Pergunta:

Explique este código COBOL.

Em menos de quinze segundos aparece uma explicação excelente.

Ele ficou feliz.

A empresa talvez não.

Porque naquele momento aconteceu algo muito mais importante do que receber uma resposta.

Ela perdeu o controle sobre onde aquele código foi parar.


O problema nunca foi a IA

Esse é o primeiro grande mito.

Muita gente acredita que o perigo da IA seja ela responder errado.

Na verdade, esse costuma ser o menor dos problemas.

O verdadeiro risco é outro.

É a informação enviada.

Imagine que alguém copie para uma IA pública:

  • código COBOL;

  • JCL;

  • SYSIN;

  • PROC;

  • CLIST;

  • REXX;

  • SQL do DB2;

  • definição VSAM;

  • arquitetura CICS;

  • parâmetros RACF.

Nenhum desses arquivos parece importante isoladamente.

Mas juntos contam exatamente como funciona uma empresa.

É como entregar o mapa completo de um castelo medieval.


Mainframe guarda o coração das empresas

Existe um mito curioso.

Algumas pessoas acreditam que o Mainframe é apenas um computador antigo.

Quem trabalha na área sabe que isso está longe da realidade.

O IBM Z normalmente executa aplicações responsáveis por:

  • folha de pagamento;

  • PIX;

  • TED;

  • cartões;

  • investimentos;

  • previdência;

  • seguros;

  • sistemas governamentais;

  • arrecadação;

  • declaração de imposto;

  • sistemas hospitalares;

  • controle aéreo.

Ou seja...

O Mainframe não guarda apenas dados.

Ele guarda o funcionamento da sociedade.


Um exemplo assustador

Imagine um banco.

Existe um programa chamado:

PGMFIN01

Ele calcula juros compostos.

Aplicações financeiras.

Renegociação.

Amortização.

Taxas.

Esse programa possui quarenta anos de evolução.

Recebeu centenas de alterações.

Seu algoritmo é praticamente impossível de reconstruir.

Um desenvolvedor resolve perguntar para uma IA:

Otimize este código.

Ele copia três mil linhas.

Acabou de compartilhar uma das maiores vantagens competitivas daquele banco.

Mesmo que nenhuma informação seja utilizada de forma inadequada, a organização perdeu o controle sobre um ativo extremamente valioso.


E quando existem dados de clientes?

A situação fica ainda mais séria.

Imagine um dump do CICS.

Nele aparecem:

CLIENTE

CPF

CONTA

AGÊNCIA

SALDO

ENDEREÇO

TELEFONE

O desenvolvedor quer apenas entender um ABEND.

Então envia tudo.

Perceba.

Ele não queria vazar informações.

Ele queria resolver um problema.

Essa diferença é fundamental.

A maioria dos incidentes não nasce da má intenção.

Nasce da pressa.


A cultura da velocidade

Vivemos uma época curiosa.

Todo mundo quer entregar mais.

Mais rápido.

Mais barato.

Mais inteligente.

A IA oferece exatamente isso.

Ela reduz tarefas que levavam horas para poucos minutos.

Naturalmente as pessoas começam a utilizá-la.

Até aqui não existe problema.

O problema aparece quando velocidade passa a valer mais que governança.

Imagine dois gestores.

O primeiro diz:

"Antes de usar qualquer IA precisamos validar com Segurança."

O segundo diz:

"Depois a gente vê isso."

Qual deles provavelmente entregará primeiro?

O segundo.

Qual deles provavelmente aumentará o risco?

Também o segundo.


Quando o exemplo vem de cima

Esse talvez seja o ponto mais importante de toda a discussão.

Pesquisas recentes mostram que muitos executivos também utilizam ferramentas não aprovadas.

Isso muda completamente o cenário.

Porque cultura organizacional funciona por imitação.

Não por documentos.

Você pode escrever um manual de trezentas páginas dizendo:

"Não utilize IA pública."

Se o diretor faz isso durante uma reunião...

A regra acabou.

As pessoas aprendem muito mais observando comportamentos do que lendo políticas.

No Mainframe isso sempre foi verdade.

Quem nunca ouviu frases como:

"Faz igual o pessoal da produção."

"Segue o padrão do analista mais antigo."

"Aqui sempre foi assim."

A IA segue exatamente a mesma lógica.


O perigo invisível

Uma das características mais perigosas da Shadow AI é sua invisibilidade.

Imagine um colaborador usando:

ChatGPT.

Claude.

Gemini.

Perplexity.

DeepSeek.

NotebookLM.

Copilot pessoal.

Ele pode fazer tudo isso usando:

  • navegador;

  • celular;

  • computador pessoal;

  • tablet.

A empresa talvez nunca descubra.

Esse é o verdadeiro desafio.

Não existe um servidor escondido.

Existe apenas um navegador aberto.


Mainframe e compliance

Quem trabalha com IBM Z normalmente convive diariamente com palavras como:

  • auditoria;

  • LGPD;

  • PCI-DSS;

  • SOX;

  • ISO 27001;

  • BACEN;

  • CVM;

  • trilhas de auditoria;

  • segregação de funções.

Esses conceitos existem porque sistemas financeiros movimentam bilhões de reais diariamente.

Agora imagine uma IA recebendo informações relacionadas a:

PIX.

TED.

Crédito.

Cartões.

Investimentos.

Mesmo que nenhum dado seja reutilizado, o simples fato de informações reguladas terem saído do ambiente controlado pode representar um problema de conformidade.


O programador júnior é culpado?

Na maioria das vezes...

Não.

Na verdade, ele costuma ser a pessoa mais interessada em aprender.

Imagine um desenvolvedor recém-contratado.

Recebe um programa COBOL escrito em 1984.

Não existe documentação.

O analista sênior está ocupado.

A entrega é amanhã.

O que ele faz?

Pergunta para a IA.

O erro não foi dele.

O erro foi da organização por não oferecer:

  • documentação;

  • treinamento;

  • mentoria;

  • ferramentas corporativas de IA.


Então devemos proibir IA?

Essa costuma ser a primeira reação.

Bloquear tudo.

Parece lógico.

Mas não funciona.

Porque produtividade é viciante.

Se o colaborador economiza duas horas por dia utilizando IA...

Ele continuará procurando uma maneira de utilizá-la.

Mesmo que seja no celular.

O resultado?

A empresa perde completamente a visibilidade.


O caminho inteligente

As empresas mais maduras estão adotando outra estratégia.

Em vez de combater a IA...

Elas governam a IA.

Isso significa:

Ferramentas homologadas

Utilizar soluções empresariais que ofereçam controles de segurança, auditoria, retenção de dados e políticas claras de privacidade.

Classificação das informações

Criar regras simples e fáceis de aplicar, por exemplo:

Pode compartilhar

  • documentação pública;

  • exemplos didáticos;

  • códigos de laboratório;

  • programas de treinamento.

Nunca compartilhar

  • dados pessoais;

  • informações financeiras;

  • credenciais;

  • dumps de produção;

  • chaves criptográficas;

  • configurações sensíveis;

  • código proprietário.

Treinamento

Não apenas para estagiários.

Também para:

  • coordenadores;

  • gerentes;

  • arquitetos;

  • diretores;

  • executivos.

Todos precisam entender riscos e responsabilidades.


Como isso afeta o mundo COBOL?

Mais do que muitos imaginam.

Hoje existem IAs capazes de:

  • explicar programas COBOL;

  • sugerir melhorias;

  • converter código;

  • documentar aplicações;

  • gerar testes;

  • explicar SQL;

  • interpretar JCL.

Tudo isso é fantástico.

Desde que seja feito no ambiente correto.

Ferramentas corporativas permitem usufruir desses benefícios sem expor informações estratégicas.


Cinco perguntas antes de perguntar à IA

Antes de colar qualquer informação em uma IA, faça um pequeno checklist mental:

  1. Este conteúdo contém dados de clientes?

  2. Existe alguma informação confidencial?

  3. Estou usando uma ferramenta aprovada pela empresa?

  4. Eu ficaria confortável se esse conteúdo aparecesse na primeira página de um jornal?

  5. Meu gestor de segurança aprovaria esse envio?

Se alguma resposta gerar dúvida, pare e reavalie.


Curiosidades

Curiosidade 1

O conceito de Shadow IT existe há mais de vinte anos.

Shadow AI surgiu praticamente da noite para o dia.

A velocidade de adoção foi muito maior.


Curiosidade 2

Muitas empresas descobriram o uso de IA apenas analisando logs de proxy.

Os acessos eram milhares por dia.

Muito acima do esperado.


Curiosidade 3

Em várias organizações, o setor que mais utiliza IA não é TI.

É Marketing.

Logo depois aparecem áreas Jurídica, RH, Atendimento e Desenvolvimento.


Curiosidade 4

O Mainframe sempre foi pioneiro em governança.

Controle de acesso.

Auditoria.

Rastreamento.

Segregação.

Paradoxalmente, muitos desses mesmos ambientes agora precisam aplicar os mesmos princípios ao uso de IA.


Easter Eggs para quem vive no IBM Z 🥚

Se você sorriu ao ler qualquer um destes itens, provavelmente já passou muitas horas diante de um terminal 3270:

🥚 Copiar um SYSOUT inteiro para a IA porque "só queria entender o ABEND S0C7".

🥚 Descobrir que o problema era um campo COMP-3 inválido... depois de meia hora conversando com a IA.

🥚 Perguntar "explique esse JCL" e perceber que esqueceu de remover o nome real do dataset de produção.

🥚 Enviar um trecho de RACF para obter ajuda e lembrar, tarde demais, que ele continha IDs internos da empresa.

🥚 Pedir para a IA documentar um programa chamado PGM001A e descobrir que até ela comentou: "Seria útil usar nomes mais descritivos." Quem herdou sistemas legados sabe exatamente do que estamos falando!

🥚 O verdadeiro programador COBOL sabe que o maior bug nunca foi o GO TO. O maior bug sempre foi a pressa.


A grande lição

Durante décadas, aprendemos a proteger CPUs, discos, redes e bancos de dados.

Agora precisamos proteger algo ainda mais valioso:

o contexto.

Uma IA aprende com o contexto que fornecemos.

Quanto mais informações enviamos, mais ela consegue ajudar.

E justamente aí mora o risco.

No universo IBM Mainframe, onde vivem algumas das aplicações mais críticas do planeta, cada linha de código pode representar décadas de conhecimento acumulado, bilhões de transações processadas e a confiança de milhões de clientes.

A Inteligência Artificial não é uma inimiga do programador COBOL. Pelo contrário: ela pode acelerar análises, explicar programas legados, documentar sistemas, gerar casos de teste e reduzir o tempo gasto em tarefas repetitivas. O verdadeiro desafio é utilizá-la com responsabilidade.

O futuro não pertence às empresas que proíbem a IA, nem às que a utilizam sem regras. Pertence às organizações que conseguem equilibrar inovação, segurança e governança.

No fim das contas, a pergunta mais importante deixou de ser "Posso usar IA?".

A pergunta correta é:

"Estou compartilhando apenas aquilo que posso compartilhar?"

Se cada profissional fizer essa reflexão antes de pressionar Ctrl+C e Ctrl+V, já teremos dado um enorme passo para transformar a IA em uma aliada — e não em um risco silencioso para o mundo Mainframe e para os sistemas financeiros que sustentam a economia.