Vicco LabsVicco Labs
Voltar para a lista
Governança de IA, na prática · Parte 1
Parte 1 - A paisagem regulatória da IA generativa

Sete frameworks para governar sistemas de LLM: o mapa antes do território

Antes de implementar controles, é preciso entender o terreno. Um panorama prático de NIST AI RMF, ISO/IEC 42001, OWASP LLM Top 10 e os outros frameworks que definem o que significa, hoje, governar IA generativa em produção.

22 ABR 2026·14 min de leitura·AI Governance / Compliance / LLM
AI GOVERNANCE

Por que sete frameworks?

Em conversas com times de IA dentro de instituições reguladas, percebo um padrão: a discussão sobre governança começa pelo controle - quem aprova, quem audita, quem assume risco - antes de existir um vocabulário comum sobre o que está sendo controlado. O resultado é previsível: políticas que não tocam no sistema real, runbooks que envelhecem na primeira release, e auditorias que medem o que é fácil de medir, não o que importa.

O caminho mais barato que encontrei é inverter a ordem. Antes do controle, o mapa. E o mapa, hoje, é composto por sete documentos que se sobrepõem em ângulos diferentes.

Os sete

  1. NIST AI RMF 1.0 - função de governança em quatro fases (Govern, Map, Measure, Manage).
  2. ISO/IEC 42001:2023 - sistema de gestão de IA, certificável, plug-in para quem já tem 27001.
  3. OWASP LLM Top 10 (2025) - riscos técnicos no nível da aplicação.
  4. OWASP Agentic Top 10 (2026) - riscos de sistemas com autonomia e ferramentas.
  5. NIST SP 800-53r5 - controles tradicionais de segurança que ainda se aplicam.
  6. CIS Controls v8.1 - baseline operacional, útil onde 800-53 é muito denso.
  7. MITRE ATLAS - táticas e técnicas adversariais específicas para ML/IA.

Como eles se encaixam

A confusão usual é tratar a lista como redundante. Não é. NIST AI RMF e ISO 42001 ocupam o nível organizacional: definem como uma empresa decide o que faz e o que não faz com IA. OWASP LLM e Agentic Top 10 ocupam o nível do produto: o que pode dar errado dentro da aplicação. NIST 800-53 e CIS são os controles que sobrevivem da era pré-LLM. ATLAS é o vocabulário do adversário.

Quando esses planos estão alinhados, a pergunta "esse risco é nosso ou do modelo?" deixa de ser política e vira engenharia.

Próximo na série

Nas próximas quatro partes, vou descer um nível em cada agrupamento: como mapear uma aplicação real contra OWASP LLM Top 10, como traduzir ISO 42001 em artefatos que time de produto entende, e como usar ATLAS como linguagem comum entre red team e engenharia.