A inteligência artificial transformou-se no motor da produtividade contemporânea, mas, como uma força da natureza, seu poder é ambivalente. Se por um lado ela otimiza defesas, por outro, acelera a escala, a velocidade e a sofisticação dos ataques cibernéticos. Em 2025, o custo médio global de uma violação de dados foi estimado em US$ 4,4 […]
A inteligência artificial transformou-se no motor da produtividade contemporânea, mas, como uma força da natureza, seu poder é ambivalente. Se por um lado ela otimiza defesas, por outro, acelera a escala, a velocidade e a sofisticação dos ataques cibernéticos. Em 2025, o custo médio global de uma violação de dados foi estimado em US$ 4,4 milhões, um número que, no Brasil, alcança a cifra de R$ 7,19 milhões. Contudo, o dado mais revelador talvez seja que, mesmo em meio a tamanha evolução tecnológica, o fator humano permaneça como corresponsável por aproximadamente 60% dos incidentes.
Estes vetores de ameaça não nos convidam, mas nos compelem a atualizar nossas práticas. A resposta, entretanto, não está em abandonar os alicerces da segurança, mas em fortalecê-los com novas camadas de governança e disciplina. Defendo uma tese direta: a segurança efetiva na era da IA resulta da combinação indissociável entre fundamentos clássicos, uma governança de IA robusta e uma disciplina operacional orientada por métricas. A tecnologia por si só é insuficiente; a resiliência nasce dessa tríade.
Primeiramente, é preciso revisitar os fundamentos. A tecnologia avança, mas as vulnerabilidades exploradas com mais frequência ainda residem em pessoas e processos. A engenharia social, materializada em campanhas de phishing cada vez mais convincentes graças à IA generativa, continua sendo uma porta de entrada primária. Portanto, o treinamento contínuo e as simulações mensuráveis não são meras formalidades, mas mecanismos vitais para alterar o comportamento e fortalecer a primeira linha de defesa. Da mesma forma, a arquitetura Zero Trust — que opera sob o princípio da verificação contínua e do privilégio mínimo — deixa de ser uma opção para se tornar o padrão arquitetônico essencial. Em um ambiente de conectividade híbrida e difusa, a identidade é o novo perímetro, e a autenticação multifator (MFA) obrigatória é sua salvaguarda inegociável.
Veja também: O cérebro como perímetro: zero trust neural e a ascensão do “mind as a service”
Em segundo lugar, a governança de IA surge como o pilar que endereça os riscos específicos deste novo domínio. A adoção desenfreada de ferramentas de IA sem supervisão, um fenômeno conhecido como Shadow AI, cria superfícies de ataque invisíveis e perigosas. Aplicações baseadas em Modelos de Linguagem Grandes (LLMs) introduzem vetores de ataque inéditos, como prompt injection e envenenamento de dados, catalogados por iniciativas como o OWASP Top 10 para LLM. A resposta a essa nova fronteira de risco não é técnica, em sua essência, mas de gestão. Estruturas como a norma ISO/IEC 42001 e o NIST AI Risk Management Framework (RMF) fornecem os instrumentos para criar políticas claras, mapear riscos por caso de uso e estabelecer um sistema de gestão auditável para a inteligência artificial.
Finalmente, a disciplina operacional, traduzida em métricas claras, transforma a estratégia em realidade. O sucesso em cibersegurança não deve ser medido pela ausência de incidentes, mas pela velocidade e eficácia da resposta. Métricas como o Tempo Médio para Detecção (MTTD) e o Tempo Médio para Resposta (MTTR) funcionam como a bússola que guia as equipes de segurança. Organizações que utilizam automação e IA em seus centros de operações de segurança, sempre sob supervisão humana e com políticas claras, demonstram uma capacidade drasticamente superior de reduzir esses tempos. A disciplina se manifesta em playbooks bem definidos, em testes de restauração de backups que realmente funcionam e em exercícios de simulação que envolvem não apenas a equipe técnica, mas também as áreas de negócio, jurídica e de comunicação.
A confluência destes três eixos — fundamentos, governança e disciplina — pode ser materializada em um plano de ação pragmático, como um modelo 3×3 a ser implementado em 90 dias. Nos primeiros 30 dias, o foco é estabelecer as bases: publicar uma política de uso de IA e universalizar o MFA. Nos 60 dias seguintes, a ênfase passa para a prática: executar simulações de phishing e iniciar automações de resposta de baixo risco. Aos 90 dias, a maturidade aumenta com a adoção de perfis de risco do NIST AI RMF para os casos de uso mais críticos e a realização de testes integrais de restauração.
A cibersegurança deixou de ser um problema exclusivamente técnico para se tornar um desafio de gestão e cultura. A tecnologia nos oferece ferramentas, mas a resiliência é, e sempre será, uma escolha. É uma escolha diária, que exige métricas para nos guiar, método para nos organizar e a coragem para executar com disciplina.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
