O mundo dos negócios impulsionado pela IA generativa está acelerando vorazmente a busca por eficiência, personalização e quebrando paradigmas. Nesse movimento, a segurança da informação deixa de ser uma função meramente defensiva e reativa, para assumir um papel propositivo e estratégico.
Cabe à área de segurança não apenas proteger, mas alavancar a adoção segura de novas tecnologias, potencializando as condições necessárias para que a inovação aconteça sem comprometer a reputação e a conformidade da organização.
Líderes e especialistas em segurança cibernética tornam-se agentes ativos no desenho de iniciativas de IA generativa desde sua concepção. Ao colaborar com áreas de dados, inteligência de negócios, produtos, jurídico, compliance e tecnologia, o CISO precisa participar da avaliação de riscos, que suporta a definição de requisitos técnicos na modelagem de políticas e controles.
Estes controles devem possibilitar a experimentação de IA com responsabilidade, mitigando impacto ao negócio. Organizações que conseguem estabelecer essa colaboração multidisciplinar ganham larga vantagem competitiva ao acelerar a adoção de IA, minimizando riscos desde o início e evitando retrabalho ou bloqueios futuros.
Transformando riscos em oportunidades
A ascensão da inteligência artificial generativa no mundo virou quase que uma “corrida armamentista” com diversos temperos geopolíticos, rivalidades econômicas, disputas comerciais e várias questões éticas. Dentro das empresas, não se trata apenas de uma tendência tecnológica, mas de uma mudança de paradigma. Soluções como copilotos corporativos, assistentes virtuais e mecanismos de geração de conteúdo por IA estão sendo incorporadas ao cotidiano de diversas áreas de negócio.
Num futuro muito próximo, viveremos circunstâncias nunca vistas. Nesse contexto, o Chief Information Security Officer (CISO) assume um novo protagonismo: mais do que guardião da segurança, ele deve se tornar um habilitador da inovação responsável.
Empresas que desejam colher os benefícios da IA generativa precisam do CISO alinhado ao propósito estratégico da organização, capaz de atuar como parceiro das áreas de negócio para viabilizar projetos de IA de forma segura, ágil e em conformidade regulatória. Ao participar desde as fases iniciais de planejamento e experimentação, o CISO contribui para a definição de políticas claras, modelos de risco e controles que permitem inovação com governança. Em vez de adotar um papel reativo ou de bloqueio, o líder de segurança deve assumir uma postura colaborativa, orientando o uso consciente e produtivo da tecnologia.
Essa postura é essencial para lidar com o fenômeno do “shadow AI“: o uso não autorizado de ferramentas de IA por funcionários, o que pode expor dados sensíveis da empresa a serviços não auditados. Temos visto incidentes de segurança sendo divulgados exatamente pelo uso inadvertido de ferramentas de IA sem qualquer controle.
Ferramentas que geram imagem, áudio e vídeo extremamente realistas (deepfakes) possibilitam diversos tipos de fraudes, através de golpes de engenharia social, por exemplo. Em Hong Kong, no ano passado (2024), houve um caso de grande repercussão em que golpistas usaram deepfakes de vídeo em videoconferência para se passar por executivos e convencer um colaborador a transferir US$25,6 milhões a contas dos criminosos.
Os ataques de face swap também estão se popularizando para burlar verificações biométricas e até vozes geradas por IA para imitar CEOs em tentativas de phishing telefônico. Essa facilidade nos ataques e golpes levou o Gartner a prever que 30% das empresas perderão a confiança no processo de autenticação facial até o fim de 2026.
Ao oferecer caminhos homologados e seguros para uso da IA, as organizações não apenas reduzem riscos, mas também estimulam a eficiência e produtividade de times de negócio que precisam de respostas rápidas para os desafios do mercado.
IA a serviço da própria cibersegurança
Para além de viabilizar as frentes de IA no negócio, a segurança da informação também se beneficia diretamente da adoção de inteligência artificial generativa. A sobrecarga dos times de resposta a incidentes e análise de ameaças é uma realidade que inclusive vem incitando discussões sobre burn out e stress generalizado nos profissionais da área.
Os volumes crescentes de alertas e incidentes, complexidade dos ambientes e escassez de profissionais especializados é um fator que penaliza os times de operações de segurança cibernética. E a capacidade da IA generativa de processar grandes volumes de dados e identificar padrões em tempo real permite ganho de eficiência e de proatividade na defesa cibernética.
Com isso, a IA surge como uma aliada inquestionável e inevitável, com muitas oportunidades para fortalecer a postura de segurança quando adotada com governança adequada: agentes já estão sendo usados para automatizar a triagem de alertas, geração de playbooks, resumo de logs, priorização de vulnerabilidades, ações corretivas e geração de documentações. O uso de copilotos internos para os times de segurança também pode reduzir o tempo de treinamento de novos profissionais e para disseminar boas práticas de maneira padronizada e rápida.
Em pesquisa recente da RSAC, 72% dos CISOs de empresas Fortune 1000 já implementaram iniciativas de IA generativa em operações de segurança, ainda que de forma incipiente. 98% planejam expandir o uso nos próximos 12 meses. Obviamente que a automação inteligente não substitui o julgamento humano, mas possibilita que os profissionais de segurança se concentrem em situações de maior complexidade e impacto.
Blindar sem frear
Embora as vantagens sejam claras, a adoção da IA, se desgovernada, pode trazer riscos significativos. Vazamento de dados, uso de modelos sem critério, envenenamento de bases de treinamento e exposição regulatória são apenas alguns exemplos. O desafio é encontrar o ponto de equilíbrio entre agilidade e governança, duas dimensões indispensáveis nessa jornada!
Para isso, o CISO deve suportar a construção de um arcabouço de governança para IA generativa, com atuação multidisciplinar e ativa de diversas áreas da organização como unidades de negócio, TI, Compliance, Proteção de Dados, Jurídico. Políticas de uso responsável, auditoria de prompts, controles de DLP, classificação de dados e outros guardrails que fazem parte desse ecossistema. Frameworks como o NIST Artificial Intelligence Risk Management Framework, ISO/IEC 42001 e o guia de avaliação de maturidade em IA do MITRE (The MITRE AI Maturity Model and Organization Assessment Tool Guide) podem ser referências valiosas.
Os modelos de avaliação de risco precisam ser aprimorados para abranger o contexto de IA definindo criticidade por tipo de aplicação, tipo e volume de dados processados e impacto potencial sobre direitos dos titulares. Assim como a segurança da informação amadureceu com o tempo para lidar com a nuvem e dispositivos móveis, agora é a vez de desenvolver maturidade para IA generativa.
Liderança para a nova era
Estamos vivenciando uma transformação inevitável. A IA generativa está mudando completamente a forma como trabalhamos, tomamos decisões e inovamos. Nesse cenário, o CISO não pode ser visto como um gatekeeper, mas sim um viabilizador da jornada de transformação segura.
Ao se posicionar como um líder que entende os objetivos do negócio e ajuda a alcançá-los com responsabilidade, o CISO ganha protagonismo estratégico. E ao utilizar a própria IA para fortalecer sua operação, mostra que a segurança também é inovação e aporta proteção ao negócio.
Em suma: a era da IA generativa demanda líderes capacitados e preparados para enfrentar esses desafios que talvez, em sua maioria, nem sejam técnicos, mas culturais. O CISO deve dominar competências como visão estratégica, capacidade de articular segurança com objetivos de negócio, pragmatismo na gestão de riscos e habilidade colaborativa para engajar múltiplas áreas da organização. Por outro lado, líderes de negócio devem compreender que a segurança da informação é uma peça crucial que vai viabilizar a inovação e adoção da IA, promovendo decisões que equilibram agilidade, proteção e conformidade.
Nota: Este artigo reflete exclusivamente minha visão pessoal sobre o tema abordado. Os exemplos, situações e reflexões aqui apresentados não se referem e nem estão vinculados a projetos, atividades ou contextos específicos dos meus empregadores, atuais ou anteriores, e tampouco derivam de quaisquer informações confidenciais ou internas.
Siga o Itshow no LinkedIn e assine a nossa News para ficar por dentro de todas as notícias do setor de TI e Telecom!
