No dia 2 de julho, o Brasil acordou com a notícia do maior crime digital da sua história: o ataque à C&M Software, que desviou pelo menos R$ 800 milhões de instituições financeiras conectadas ao Pix. Não houve violação ao sistema, pois os criminosos fizeram as transferências usando credenciais legítimas de um prestador de serviços. […]
No dia 2 de julho, o Brasil acordou com a notícia do maior crime digital da sua história: o ataque à C&M Software, que desviou pelo menos R$ 800 milhões de instituições financeiras conectadas ao Pix. Não houve violação ao sistema, pois os criminosos fizeram as transferências usando credenciais legítimas de um prestador de serviços. Isso demonstra que a cibersegurança não pode mais se limitar à proteção da estrutura de TI, precisando envolver pessoas, dados e processos. A inteligência artificial destaca ainda mais o tema, que deve ser visto como um pilar dos negócios.
Essas foram algumas das principais conclusões da Conferência Gartner de Segurança e Gestão de Risco, que aconteceu em São Paulo nos dias 5 e 6 de agosto. A mensagem central do evento foi que gestores não podem ignorar ou combater a euforia em torno da IA, e sim usá-la como motor de mudanças planejadas que diferenciam líderes apenas reativos daqueles que realmente geram valor estratégico.
Leia mais: IA ameaça modelo que sustenta a Internet e a própria existência da tecnologia
Essa visão já é realidade em mercados mais maduros e avança globalmente, inclusive no Brasil. Estudos do Gartner sugerem que, até 2026, metade dos executivos de alto escalão deverá ter indicadores de performance em cibersegurança atrelados aos seus contratos de remuneração, e isso não se restringe aos líderes de tecnologia.
Não dá para ser diferente. Os bandidos já usam a IA para sofisticar seus ataques, como na adoção de agentes de IA que imitam o comportamento humano para burlar proteções de segurança. Assim, a IA automatiza ameaças em grande escala.
Isso não afeta apenas grandes corporações. Com a “Internet dos humanos” evoluindo para dispositivos ligados às pessoas (e eventualmente controlando funções vitais, como um marcapasso conectado), hackers poderão ameaçar vidas remotamente.
Nesse cenário, a preocupação não deve ser se estamos seguros, e sim se estamos tomando medidas adequadas para mitigar ameaças dentro do nosso apetite de risco.
Veja esse artigo em vídeo:
Para isso, a implantação de uma governança eficaz é crucial. O primeiro passo é começar pequeno, evitando uma sobrecarga inicial de dados e incidentes. Em seguida, é fundamental identificar e priorizar riscos, atribuindo-lhes valor financeiro para orientar os investimentos. Outro ponto central é traduzir os riscos de dados em linguagem de negócio, facilitando o entendimento e o apoio da alta gestão.
“Usar a energia da mudança ou o entusiasmo das pessoas para alimentar nossa agenda é uma jogada de poder político no que as pessoas chamam de tempos interessantes”, explicou Oscar Isaka, diretor-sênior do Gartner. “Os incidentes cibernéticos associados à tecnologia exploratória estão atingindo os resultados financeiros, então os executivos estão prestando atenção à cibersegurança.”
O Gartner sugere que os executivos de segurança da informação trabalhem três pontos para conseguir isso. No primeiro eixo, devem demonstrar como os investimentos em segurança contribuem para os objetivos da empresa, usando transparência e dados, em vez de medo e incerteza.
Além disso, a segurança cibernética deve ser vista como um laboratório para experimentação com IA. Ao adotar essa tecnologia para análise de ameaças, a área de segurança não apenas mitiga riscos, mas também impulsiona as ambições de longo prazo da empresa em inteligência artificial.
Por fim, a agilidade nas mudanças é essencial, pois a IA amplia a superfície de ataque e os riscos, como ameaças internas potencializadas por ela. Nesse ponto, os profissionais devem ser treinados e ter autonomia. Assim, automatizarão tarefas repetitivas, enquanto desenvolvem novas habilidades para impulsionar o seu crescimento, tornando-se agentes resilientes da mudança.
Mas nada disso resolve se cuidados básicos com as pessoas não forem observados.
Os gestores precisam transformar o comportamento dos usuários, sejam eles funcionários ou clientes, para que a segurança se torne um hábito, e não uma obrigação imposta. E temos uma cultura muito pobre nisso.
Isaka deu como exemplo a naturalidade com que compartilhamos nosso CPF para descontos em farmácias ou até para abrir a comanda em um bar. “O CPF é o que nos torna cidadãos brasileiros”, alertou. Segundo ele, “se eu pegar seu CPF e informar na Receita Federal, eu saberei mais de você do que você mesmo!”
O mesmo vale para a banalização dos QR Codes, escaneados sem preocupação e que podem levar a pessoa a um site em que seus dados pessoais serão roubados. Isso se reflete no trabalho, onde funcionários podem, com a mesma displicência, inserir dados sensíveis da empresa em sites não seguros ou em plataformas de IA.
Essa falta de cultura torna as pessoas o elo mais fraco. Elas podem ver os controles de segurança como um obstáculo em seu cotidiano, procurando formas de contorná-los para “fazer seu trabalho mais rápido”, ou cometer erros por falta de atenção.
Segundo Paulo Aresta, analista-sênior do Gartner, a rigidez de algumas regras de segurança não é uma escolha, e sim uma consequência de uma cultura organizacional sem colaboração, comunicação eficaz ou uma visão de riscos e objetivos compartilhada entre a segurança e o negócio.
“Quando colocamos pressão na gestão de segurança, ela tende a ter dificuldades em ser aplicada de uma maneira objetiva e eficaz”, afirmou. Ele explicou que apenas 14% das empresas conseguem equilibrar a segurança e a agilidade para inovar e crescer.
Ninguém pode dizer que está seguro. O desafio das empresas é que, quando (e não “se”) ataques ocorrerem, elas não sejam pegas de surpresa. Os incidentes são inevitáveis, mas podem ter impactos minimizados com preparo e reação rápida.
Obviamente não dá para “nos proteger do futuro”, mas podemos nos tornar “prontos para o futuro”. Isso exige que tenhamos uma mentalidade que vá além das urgências do dia a dia, para podermos antecipar cenários disruptivos.
Afinal, o futuro está sempre em movimento. Não devemos buscar ser infalíveis, mas sim ágeis e resilientes para nos adaptarmos ao que vier.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
