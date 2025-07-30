O cenário cibernético mudou drasticamente com a rápida adoção da inteligência artificial. Na corrida frenética para aproveitar o potencial da IA, as organizações muitas vezes se veem contra o relógio, ansiosas para implementar a IA sem antes avaliarem suas medidas fundamentais de cibersegurança. Isso cria um paralelo perigoso: enquanto as empresas se esforçam para adotar IA para obter vantagem competitiva, os cibercriminosos estão incorporando de forma acelerada essas tecnologias em seus arsenais de ataques.
Nem tudo são más notícias. Pela primeira vez em cinco anos, os custos globais de violação de dados diminuíram. O relatório do custo das violações de dados de 2025, recém-divulgado pela IBM, constatou que os custos médios globais caíram para USD 4,44 milhões – uma redução de 9% em relação aos USD 4,88 milhões do ano anterior. O catalisador? Contenção mais rápida de violações alavancada por defesas impulsionadas por IA. De acordo com o relatório, as organizações conseguiram identificar e conter uma violação dentro do prazo médio de 241 dias, o menor tempo em nove anos.
No entanto, esse progresso vem com uma ressalva: a própria velocidade de implementação da IA e da automação, que está ajudando as organizações a se defenderem melhor, também está criando novos riscos. Esse fenômeno da adoção da IA ultrapassando a supervisão pode levar a uma dívida de segurança significativa, representando riscos para empresas determinadas a manter uma vantagem competitiva. Essa dívida – as consequências cumulativas de práticas de cibersegurança inadequadas ou atrasadas – pode levar a vulnerabilidades graves ao longo do tempo. Com a IA, as organizações já estão começando a dar sinais de alerta.
Considere o seguinte: impressionantes 97% das organizações que sofreram violações de segurança relacionadas à IA afirmam que não possuíam controles de acesso adequados à IA, de acordo com as conclusões do relatório do custo das violações de dados. Além disso, entre as 600 organizações pesquisadas pelo Instituto independente Ponemon, 63% revelaram não possuir governança de IA para gerenciar IA ou impedir que trabalhadores usem IA oculta.
Esta lacuna na supervisão da IA está gerando enormes custos financeiros e operacionais. O relatório mostra que ter um alto nível de IA oculta, em que os funcionários baixam ou usam ferramentas de IA baseadas na Internet não aprovadas, acrescentou mais USD 670.000 ao custo médio global da violação. As violações relacionadas à IA também tiveram um efeito cascata: levaram a um amplo comprometimento de dados e à interrupções operacionais. Essas interrupções pode impedir que as organizações processem pedidos de vendas, forneçam atendimento ao cliente e mantenham as cadeias de suprimentos em funcionamento.
Ao negligenciar as práticas fundamentais de cibersegurança na adoção da IA, as empresas se tornam vulneráveis à interrupção operacional das cargas de trabalho baseadas em IA, à violação de dados em grande escala que abrange ambientes multinuvem e locais, e à possível exposição da propriedade intelectual usada para treinar ou ajustar suas implementações.
À medida que os líderes de negócios continuam mergulhando e impulsionando o entusiasmo com relação à IA, precisam enfrentar o grande risco que persiste em suas infraestruturas gerais. Isso é especialmente verdadeiro quando se trata de segurança na nuvem, em que as cargas de trabalho e os dados de IA passam a maior parte do tempo. Para garantir que esses níveis permaneçam dentro da tolerância ao risco organizacional, os líderes de segurança precisam ajudar suas empresas a obter sucesso com a IA, reavaliando os frameworks de cibersegurança. Esses líderes devem garantir que suas empresas possam se adaptar aos riscos em evolução que acompanham as tecnologias de IA.
Isso inclui auditorias regulares de políticas de segurança e proteção de dados, adaptação de controles, melhorias nos planos de resposta e investimento em treinamento de funcionários. À medida que os recém-nomeados diretores de IA se juntam à diretoria executiva, os líderes de segurança precisam estar ao lado deles. Eles devem fortalecer seus laços com as equipes de governança, risco e conformidade (GRC) para ajudar a quebrar os silos atuais ou emergentes com o departamento que supervisiona a conformidade regulatória. Isso ajudará a garantir o alinhamento e criar um forte vínculo de resposta a crises no caso de uma violação de dados envolvendo ativos de IA.
Qual é o risco dessa situação? Os cibercriminosos estão perfeitamente cientes dessa fraqueza situacional, posicionando as cargas de trabalho de IA como alvos de alto valor prontos para serem comprometidos. O risco está se materializando no mundo real? A resposta, como você pode ver nos dados acima, é sim. O relatório revela que 13% das organizações entrevistadas sofreram um ataque que afetou seus modelos de IA ou aplicações. Essa porcentagem é pequena, por enquanto. É provável que vejamos um aumento nos próximos 12 meses, a menos que os líderes de segurança e seus parceiros de negócios reconheçam o risco e passem a se concentrar mais intensamente na segurança da IA.
Para mitigar esses riscos e fortalecer a postura de segurança, as organizações devem:
1. Fortalecer a gestão de identidade e acesso: implementar uma gestão de identidade robusta e uma gestão de acesso privilegiado para identidades humanas e não humanas, especialmente em nuvem. Utilizar esquemas avançados de autenticação multifator (MFA), evitando códigos baseados em SMS. Aproveitar as soluções de gerenciamento de identidade que aprimoram a segurança e, ao mesmo tempo, agilizam o gerenciamento de acesso eficaz.
2. Avaliar e reforçar a segurança na nuvem: os dados de IA provavelmente estão migrando entre nuvens, trabalhando na nuvem e requerendo interações com nuvens de terceiros. Realizar avaliações completas das configurações e permissões da nuvem. Empregar ferramentas de segurança nativas da nuvem para monitorar atividades e aplicar políticas de segurança de forma eficaz. Mudar para uma automação aprimorada por IA para detectar e mitigar de forma rápida os riscos.
3. Fortalecer a governança de IA, risco e conformidade (GRC): alinhar as iniciativas de IA com os objetivos organizacionais, garantindo uma governança de IA robusta. Essa governança deve se concentrar no desenvolvimento e na implementação de sistemas de IA, supervisionando processos, políticas e controles que lidam com as complexidades e riscos únicos introduzidos pela IA. Apoiar esse processo recorrendo às políticas de gestão de dados existentes para garantir que ambos trabalhem em sintonia, minimizando riscos de dados e privacidade.
Empregar tecnologias que permitam o rastreamento da linhagem de dados que siga a jornada dos dados dentro da sua organização, desde a origem até o destino final, e todas as transformações pelas quais passam ao longo do caminho. Isso pode auxiliar a organização com visibilidade, práticas éticas de IA e respostas mais rápidas a possíveis comprometimentos de dados.
4. Fornecer educação e treinamento contínuos: educar e treinar regularmente a equipe sobre as ameaças emergentes de IA e as melhores práticas. Desenvolver planos robustos, playbooks e estratégias de resposta em cenários de risco relevantes. Realizar exercícios teóricos e simulações para preparar as equipes para possíveis incidentes cibernéticos.
Eliminar a lacuna entre a adoção rápida da IA e práticas de segurança diligentes preparará melhor as equipes para enfrentarem o cenário de ameaças de IA em evolução. Priorizar governança, considerações éticas e segurança hoje preparará o terreno para a resiliência de amanhã.
