Governança de IA e SAP: por que bloquear o acesso não resolve, e o que realmente funciona

25 jun 2026

Recentemente, em uma conversa com uma CIO, surgiu uma preocupação cada vez mais comum nas empresas: como garantir que dados sensíveis não sejam expostos quando qualquer colaborador pode usar IA no dia a dia?

Texto por: Rodrigo Moulard | Sócio fundador e CSMO da delaware Brasil

Essa dúvida não é exagero, pelo contrário. Ela reflete exatamente o momento que o mercado está vivendo.

Ao aprofundar esse tema com base em dados e relatórios recentes, a conclusão é clara: as empresas não estão atrasadas. Na maioria dos casos, elas estão exatamente no mesmo estágio dessa discussão.

O cenário atual: o risco já existe e já está mensurado

Dados recentes mostram que o risco deixou de ser teórico: O IBM Cost of a Data Breach Report indica que:

63% das empresas não possuem uma política madura de governança de IA.
Entre empresas que sofreram incidentes envolvendo IA, 97% não tinham controles adequados de acesso.

Já o relatório Verizon DBIR 2026 analisou mais de 858 mil eventos de DLP (Data Loss Prevention, ferramentas que evitam vazamento de dados) envolvendo IA generativa, e identificou que os principais dados enviados são:

Código-fonte
Imagens
Dados estruturados

Ou seja, não se trata apenas de arquivos isolados. Em muitos casos, o que está sendo exposto é propriedade intelectual crítica da empresa.

Também existe impacto financeiro relevante:

Empresas com uso descontrolado de IA tiveram custo médio de incidente cerca de US$ 670 mil maior

Na prática, isso representa um aumento significativo no custo de um breach, diretamente associado à falta de visibilidade.

O erro mais comum: tentar resolver com bloqueio

Diante desse cenário, o instinto natural é bloquear o uso de IA.

Mas esse é exatamente o ponto em que muitas estratégias falham.

Bloquear ferramentas não elimina o problema, apenas o desloca.

Na prática:

O uso deixa de acontecer no ambiente corporativo
Migra para dispositivos pessoais ou contas não corporativas
E a empresa perde completamente a visibilidade

Esse comportamento já é amplamente observado no mercado. Quando não há alternativas adequadas, o uso de IA tende a migrar naturalmente para fora do ambiente controlado.

Ou seja: o bloqueio não reduz o risco, ele apenas o torna invisível.

O que vemos na prática (inclusive em ambientes globais)

Esse padrão não é apenas estatístico.

Em organizações globais, com milhares de colaboradores, o comportamento se repete: quando não existe uma alternativa corporativa competitiva, o uso de IA rapidamente sai do ambiente oficial.

Em contextos com grande escala, como o da própria delaware (com mais de 4.500 colaboradores), observamos o mesmo padrão:

a adoção acontece fora do controle sempre que a alternativa corporativa não atende em qualidade e experiência.

Isso reforça um ponto simples, mas essencial: o problema não é o acesso à IA, é a ausência de um canal governado que seja competitivo.

O que está funcionando na prática: três decisões estruturais

1. Oferecer uma ferramenta corporativa melhor que a alternativa

Pode parecer contraintuitivo, mas funciona. Quando a empresa disponibiliza uma IA corporativa de qualidade:

O usuário migra naturalmente para esse ambiente
O uso passa a ser monitorado
É possível estabelecer contratos de proteção de dados

A lógica é direta: a ferramenta não autorizada só ganha quando a autorizada é pior, ou inexistente.

2. Definir o que é dado sensível antes de tentar proteger

Esse é um dos pontos mais críticos, e mais negligenciados.
Sem classificação de dados:

Não existe política eficaz
Ferramentas de proteção (como DLP) não funcionam corretamente
A decisão fica com o usuário final

A pergunta central é:

“O que, exatamente, não pode sair da organização?”

E essa não é uma decisão tecnológica, é uma decisão de governança.

3. Controlar os vetores mais invisíveis, e mais simples de resolver

Existe um ponto recorrente nos dados:

Mais de 15% dos usuários utilizam extensões de IA não autorizadas no navegador

Essas extensões podem:

Capturar automaticamente o conteúdo das páginas
Acessar informações sensíveis
Enviar dados sem rastreabilidade

Esse é um dos controles mais simples de implementar (via gestão de dispositivos) e ainda assim um dos mais ignorados.

Onde o SAP entra e por que isso muda a conversa

Até aqui, a discussão parece centrada na IA. Mas existe uma camada mais profunda.

Em muitas empresas, o SAP é o principal repositório de dados críticos:

Financeiro
Supply chain
Recursos humanos
Operações

E a realidade é que muitos ambientes ainda apresentam:

Acessos excessivamente amplos
Falta de mascaramento de dados
Controles desenhados para um cenário pré-IA

Isso leva a um ponto importante: antes de o dado sair pela IA, ele muitas vezes já está excessivamente exposto dentro do próprio ERP.

SAP é um dos ativos mais críticos da empresa e um alvo natural para riscos, especialmente com a expansão da IA no ambiente corporativo.

Focar apenas em bloquear o envio de dados para IA resolve o sintoma, mas não a causa.

O que não é controlável e por que aceitar isso faz parte da governança

Existe um ponto desconfortável, mas necessário: o uso de IA fora do ambiente corporativo não será eliminado.

Sempre haverá:

Uso em dispositivos pessoais
Acesso por contas não corporativas
Decisões individuais

Tentar controlar isso de forma absoluta tende a gerar:

Perda de eficiência
Desgaste organizacional
Falsa sensação de segurança

Governança madura não busca controle total, busca controle efetivo.

Uma definição mais prática de governança de IA

Governança de IA pode ser resumida de forma simples: não é impedir o uso.
É garantir que os dados críticos estejam protegidos, independentemente de onde a IA está sendo utilizada.

Isso exige três pilares:

Clareza sobre os dados
Visibilidade sobre o uso
Uma alternativa corporativa viável

Conclusão

A preocupação com vazamento de dados via IA é legítima, e cada vez mais concreta. Mas a resposta não está em restringir o acesso. Está em decidir se esse risco será: invisível e descontrolado ou monitorado, estruturado e governado.

Essa decisão é o que separa empresas que reagem à IA daquelas que realmente se adaptam a ela.

FAQ técnico: governança de IA em ambientes SAP

IA generativa pode acessar dados do SAP?

Sim. Se o usuário tiver acesso ao dado e decidir utilizá-lo em uma ferramenta de IA, o envio pode acontecer, via upload, prompt ou integração.

Bloquear ChatGPT ou outras IAs resolve?

Não. O bloqueio reduz visibilidade e empurra o uso para fora do ambiente corporativo.

Como proteger dados do SAP no contexto de IA?

A proteção começa dentro do próprio SAP:

Acessos adequados por perfil
Mascaramento de dados sensíveis
Revisão de autorizações
Controle de extração de dados

DLP resolve o problema?

Ajuda, mas não resolve sozinho. Depende de classificação de dados e não cobre uso fora do ambiente controlado.

Qual é o primeiro passo?

Antes de tecnologia:

Entender quais IAs estão sendo usadas
Definir dados críticos
Oferecer alternativa corporativa

Rodrigo Moulard

Founding Partner & CSMO at delaware Brasil

Quer entender como estruturar governança de IA no seu ambiente SAP?

Fale com nossos especialistas