Além da conscientização

Além da conscientização: como a IA, a inovação e a percepção humana estão redefinindo a segurança cibernética

Ao longo dos anos, nossas vidas se tornaram cada vez mais digitais e, com isso, mais vulneráveis do que nunca. Da forma como trabalhamos, fazemos compras, fazemos operações bancárias e nos conectamos, quase todos os aspectos de nossas rotinas diárias agora trazem riscos potenciais à segurança cibernética. Estamos vendo violações, ransomware e vazamentos de dados dominarem as manchetes, lembrando-nos consistentemente que a segurança cibernética não é apenas uma preocupação de TI, mas uma responsabilidade compartilhada que ajuda a garantir a segurança e a confiança do mundo digital em que vivemos.

Este Mês de Conscientização sobre Segurança Cibernética é uma oportunidade para refletir sobre o quanto avançamos no fortalecimento das defesas digitais e quanto trabalho ainda temos pela frente. À medida que tecnologias emergentes como a IA continuam a transformar o cenário da segurança cibernética, manter-se informado e proativo é mais importante do que nunca. Abaixo, os líderes de tecnologia e segurança cibernética compartilham seus insights sobre o Mês de Conscientização sobre Segurança Cibernética e as maneiras pelas quais a IA e a inovação estão remodelando nossas defesas e as ameaças que enfrentamos.

Sandy Kronenberg, CEO e Fundador, Netarx

“A engenharia social sempre foi a arma mais confiável de um mau ator. Agora a IA o sobrecarregou. E-mails de phishing, mensagens de texto maliciosas, chamadas de vishing e deepfakes não são mais isolados; eles agora são misturados em ataques coordenados que sobrecarregam os funcionários e exploram a confiança em vários canais.

Vimos um aumento de 900% nos crimes cibernéticos relacionados a deepfakes no ano passado. Ao mesmo tempo, o phishing continua a ser o principal ponto de entrada para a maioria das violações e as fraudes com clones de voz estão a crescer a uma taxa de 66% ano após ano. Os invasores juntam tudo isso: um e-mail de phishing prepara um funcionário para esperar uma ligação, a ligação vem de um executivo “clonado por voz” e uma mensagem de texto com um link malicioso a reforça. Esta coreografia deixa pouco espaço para dúvidas, a menos que as defesas adequadas estejam em vigor.

Ferramentas tradicionais não são projetadas para isso. Os scanners de malware não detectarão um vídeo manipulando seu CFO. Gateways de e-mail seguros não podem sinalizar uma mensagem convincente que passe nas verificações de autenticação. O treinamento de conscientização, embora valioso, não pode preparar alguém para uma voz sintética que soe exatamente como seu chefe dando instruções urgentes. A lacuna está na camada humana de confiança.

O Mês de Conscientização sobre Segurança Cibernética é o momento de ir além da conscientização por si só. Os líderes precisam fechar essa lacuna com validação em tempo real, baseada em IA, que abrange e-mail, mensagens, voz e vídeo. Prevê-se que as perdas por fraude vinculadas a deepfakes excedam US$ 25 bilhões anualmente até 2026. O custo de esperar é muito maior do que o custo de agir agora.”

Dr. Srinivas Mukkamala, CEO, Securin

“À medida que a inteligência artificial continua a acelerar as habilidades dos maus atores’, as organizações estão se vendo ultrapassadas por essa ameaça crescente. Os adversários agora estão usando IA para identificar fraquezas, automatizar campanhas de phishing e encadear explorações em uma escala que as operações manuais nunca permitiram. Os defensores não podem se dar ao luxo de responder com o manual de ontem. Como eu disse antes, você deve combater a IA com IA; você deve combater a velocidade da máquina com velocidade operacional.

Os modelos de segurança tradicionais geralmente se fixam em falhas individuais. A IA muda essa equação amplificando o que chamo de “combinações tóxicas;” CVEs vinculados, CWEs e configurações incorretas que podem parecer menores isoladamente, mas, quando combinados, formam pontos críticos de falha. Lidar com isso requer engenharia segura por design, equipes vermelhas sistemáticas de IA para descobrir vulnerabilidades ocultas e estruturas de rotulagem claras que dêem às organizações visibilidade sobre como os sistemas de IA funcionam.

O Mês de Conscientização sobre Segurança Cibernética não é apenas sobre conscientização. É um lembrete de que a resiliência vem da adaptação e que a adaptação deve acompanhar as ameaças impulsionadas pela IA que moldam o cenário digital atual.”

Sandeep Singh, Diretor Sênior, Estratégia de Segurança e Operações em HackerOne

“Em todo o setor de segurança cibernética, os pesquisadores estão evoluindo tão rapidamente quanto os riscos que enfrentam, impulsionados em grande parte pelo uso da IA. Ao celebrarmos o Mês de Conscientização sobre Segurança Cibernética, é importante reconhecer que a IA não está substituindo a expertise humana; ela está amplificando-a.

Com o surgimento da IA, estamos vendo o surgimento do ‘hacker biônico’ – um pesquisador de segurança que usa IA para amplificar a criatividade e as habilidades humanas. Esses pesquisadores de segurança não estão sendo substituídos pela IA; eles a estão aproveitando para potencializar o reconhecimento, a triagem, o reconhecimento de padrões e a exploração de superfícies de ataque complexas.

Pesquisa HackerOne descobriu que 70% dos investigadores descrevem-se agora como nativos da IA, aproveitando ferramentas de IA para melhorar as suas capacidades de caça e acelerar os testes, tornando possível identificar riscos e ameaças de forma mais eficiente do que nunca. Ao mesmo tempo, a adoção da IA em todos os setores está aumentando. Somente no ano passado, o número de sistemas de IA incluídos em testes de segurança cresceu 270%.

Os riscos nunca foram tão elevados e a experiência humana continua tão crucial como sempre. O Mês de Conscientização sobre Segurança Cibernética não se trata mais apenas de detectar e-mails de phishing ou praticar a segurança online. Trata-se de preparar um futuro onde a criatividade humana e a IA trabalhem lado a lado para proteger a Internet.”

Averell Gatton, Diretor da GenAI, Protegrity   

“A inteligência artificial generativa entrou em ampla adoção empresarial, mas sua arquitetura de segurança continua subdesenvolvida. Grandes modelos de linguagem e sistemas multiagentes processam volumes substanciais de informações confidenciais. Sua capacidade de acelerar pesquisas, automatizar fluxos de trabalho de decisão e gerar insights se expandiu rapidamente, mas o aumento na funcionalidade vem com um aumento maciço na superfície de ataque de sistemas agênticos potencialmente quebrados. Neste contexto, a segurança de dados tornou-se uma ferramenta essencial na era GenAI.

Pesquisas recentes sublinham a escala destas preocupações. As empresas estão reagindo bloqueando 18,5% das transações de IA e aprendizado de máquina, um aumento de 577% em um período de nove meses, de acordo com a Zscaler. Esse padrão ilustra a crescente cautela, já que muitas empresas adotam medidas defensivas na ausência de políticas formalizadas de governança de IA. 

A integração da segurança no pipeline de desenvolvimento está emergindo como um ingrediente essencial nos sistemas de IA de produção. Técnicas como criptografia em nível de campo, tokenização e design que preserva a privacidade permitem o rápido desenvolvimento de sistemas de IA, ao mesmo tempo que reduzem a exposição de dados regulamentados. A proteção incorporada em todas as etapas do ciclo de vida do modelo fornece uma base para a construção de sistemas que sejam operacionalmente úteis e compatíveis com os padrões regulatórios. 

O Mês de Conscientização sobre Segurança Cibernética destaca a rapidez com que o equilíbrio entre inovação e proteção está mudando. A eficácia das tecnologias de IA dependerá cada vez mais de a segurança ser tratada como uma parte inseparável da sua concepção.”

Richard Bird, CSO, Singulr AI

“O Mês de Conscientização sobre Segurança Cibernética deve ser muito mais do que um lembrete sobre e-mails de phishing. Em 2025, a conscientização deve significar visibilidade sobre como os funcionários estão realmente usando IA, proteções e controles de segurança para evitar que sistemas autônomos fiquem descontrolados e promover uma cultura que equilibre decisões responsáveis com inovação.

Os detalhes sobre por que essas etapas são importantes estão nos dados: o Verizon DBIR de 2023 descobriu que 74% das violações ainda envolviam o elemento humano, 83% envolviam atores externos e 95% eram motivadas financeiramente.

Os programas tradicionais de conscientização não foram longe o suficiente para mudar esses números, e agora os riscos aumentaram exponencialmente. Agentes que podem agir na velocidade da máquina, combinados com funcionários adotando ferramentas de IA sem supervisão, significam que pequenos erros podem se transformar em exposições significativas em velocidades e volumes que nunca experimentamos antes.

A conscientização não pode parar nos slides do PowerPoint e nos exercícios de treinamento com cliques. As organizações precisam de governança e supervisão modernas que se adaptem à forma como o trabalho está sendo feito dentro de suas organizações hoje, particularmente com a IA na mistura. Sem ela, continuaremos a reciclar as abordagens antigas enquanto os riscos continuam se multiplicando mais rápido do que podemos responder.”

Jay Bavisi, Presidente do Grupo, EC-Council

“A inteligência artificial está remodelando todas as dimensões da segurança. Dá aos defensores novas capacidades, mas também acelera a velocidade e a escala das ameaças. A verdadeira medida de preparação não virá apenas da tecnologia, mas de uma força de trabalho treinada, certificada e pronta para aplicar a IA de forma responsável, pensando com a mentalidade de um adversário. Hackers éticos certificados representam essa prontidão. Eles validam as defesas em condições do mundo real e garantem que as organizações permaneçam resilientes à medida que o cenário de ameaças continua a evoluir. A tecnologia avançará sem fim, mas é a mente humana ética que, em última análise, garante o futuro.”

Dan Bridges, Diretor Técnico – Internacional em Cyware

“As empresas hoje estão conectadas através de uma rede digital invisível e, embora esta seja uma ótima notícia para o comércio eletrônico, também pode levar a uma série de portas traseiras desprotegidas apenas esperando para serem exploradas. Com o último ataque em Aeroportos europeus destacando a tendência preocupante de ameaças cibernéticas a nível industrial, após campanhas bem-sucedidas no fabricação e indústrias varejistas, as empresas devem manter altos níveis de vigilância sobre todo o cenário de superfície de ameaças.

Muitas vezes agora, as cadeias de abastecimento estão sob ataque e cair em conflito com ameaças de ransomware. Estes canais são essenciais para as empresas e, no entanto, muitas vezes podem permanecer mal defendidos. Assim como uma fileira de dominós, quando uma organização sucumbe a um ataque cibernético, uma cadeia ofensiva é desencadeada sobre a indústria, com cada dominó caindo servindo como catalisador para derrubar o próximo.

As empresas precisam apresentar uma frente unificada, trabalhando juntas para melhorar as defesas, corrigir falhas e mitigar possíveis vulnerabilidades. Por meio de alianças defensivas baseadas em cooperação, as organizações podem trabalhar juntas em plataformas de inteligência de ameaças (TIPs) e recursos relacionados de compartilhamento e colaboração de ameaças. Essas plataformas atuam como o coração das defesas cibernéticas de uma organização, coletando informações de várias fontes – desde feeds públicos até relatórios do setor – e distribuindo-as entre equipes internas – e externamente entre ecossistemas comunitários, incluindo organizações dentro de sua cadeia de suprimentos. Essas plataformas fornecem às empresas a base perfeita para construir suas defesas cibernéticas, para que possam estar mais bem preparadas para se defender contra invasores em todos os níveis da organização.”

Freddy Kuo, Presidente, Luminys

“O Mês Nacional de Conscientização sobre Segurança Cibernética é um lembrete importante de que a verdadeira segurança vai além do digital. Deve também salvaguardar o mundo físico. Embora a IA tenha o poder de transformar dados brutos em inteligência em tempo real, muitos sistemas físicos permanecem passivos simplesmente armazenando imagens sem interpretá-las ou agir sobre elas.

Essa passividade tem consequências. Apesar de três quartos das organizações que identificaram a segurança física como prioridade máxima, 60% ainda enfrentaram violações nos últimos cinco anos. À medida que a tecnologia avança, o mesmo deve acontecer com os processos e estruturas de governança que a apoiam.

A solução não são mais dados, são sistemas mais inteligentes e ações alinhadas. Sistemas de segurança mais inteligentes exigem Procedimentos Operacionais Padrão (POPs) mais inteligentes e atualizados para garantir que as organizações se beneficiem totalmente dos novos recursos e evitem ficar para trás. Precisamos de plataformas inteligentes que possam antecipar e prevenir incidentes antes que eles ocorram e garantir que fabricantes, integradores e usuários finais revisem e fortaleçam suas práticas de segurança regularmente.

Sem esse alinhamento e visibilidade, mesmo as plataformas mais avançadas podem deixar pontos cegos. O futuro de uma segurança mais inteligente depende do avanço conjunto da tecnologia e dos processos que a rodeiam.“

Ron Reiter, cofundador e CTO, Sentra

“Um dos riscos de IA mais negligenciados hoje são dados paralelos e duplicados. A IBM identificou-o como um dos principais impulsionadores de custos em violações, e por boas razões. Os dados de sombra são um alvo principal para invasores porque geralmente existem fora da visibilidade de uma equipe de segurança. Você não pode proteger o que você nem sabe que existe.

Isso não é mais apenas um problema de segurança; é um risco comercial. À medida que os sistemas de IA se tornam incorporados às operações diárias, as organizações estão efetivamente contratando colegas de trabalho digitais que não contrataram e não podem supervisionar totalmente. Esses sistemas tomam decisões, acessam dados confidenciais e se movem na velocidade da máquina, o que significa que os riscos aumentam rapidamente quando falta governança.

Neste Mês de Conscientização sobre Segurança Cibernética, a lição não é apenas sobre encontrar dados ocultos. Trata-se de entender quais riscos são mais importantes e remediá-los antes que ações não intencionais possam expor dados confidenciais e/ou invasores tirem vantagem. A governança começa com a visibilidade, e os controles devem acompanhar os dados em ambientes de nuvem, SaaS e locais. Sem essa visão em tempo real, os líderes estão deixando lacunas fáceis de explorar.”

Derek O’Neill, Diretor de Privacidade de Dados e Segurança da Informação, Foxit

“O Mês de Conscientização sobre Segurança Cibernética é um lembrete de que segurança não se trata apenas de hackers com moletons ou firewalls de alta tecnologia — trata-se dos documentos diários que enviamos, compartilhamos e armazenamos. Pense em contratos, formulários médicos ou demonstrações financeiras; eles geralmente contêm as informações mais confidenciais de uma empresa. Com a IA tornando mais fácil do que nunca criar e mover informações, os riscos também são maiores. E não se trata apenas de manter os maus atores afastados — regulamentações como GDPR e HIPAA significam que se espera que as organizações lidem com esses dados de forma responsável em cada etapa do processo.

A boa notícia é que a tecnologia pode ajudar – nenhuma grande surpresa aí! A IA pode detectar coisas que as pessoas podem não perceber, como sinalizar atividades incomuns, identificar detalhes confidenciais que precisam ser redigidos ou até mesmo simplificar relatórios de conformidade. Mas no final das contas… tudo se resume a conceitos básicos como criptografar arquivos, limitar o acesso às pessoas certas e manter registros claros de onde os documentos vão. Este mês é uma oportunidade de fazer uma pausa e lembrar que segurança e conformidade não são obstáculos à inovação —são eles que tornam possível que as pessoas confiem nos sistemas que usamos todos os dias”

Yousef Hazimee, Chefe de Segurança, LearnUpon

“De métodos de ataque cada vez mais sofisticados a tecnologias emergentes como a IA, as ameaças cibernéticas estão a evoluir rapidamente. É por isso que é essencial que as equipes de segurança forneçam aos funcionários um treinamento atual, envolvente e fácil de aplicar em seu trabalho diário.

Para ajudar os funcionários a reconhecer potenciais ameaças à segurança, incentivo as organizações a usar este Mês de Conscientização sobre Segurança Cibernética para reavaliar seus programas de treinamento. Peça feedback aos funcionários, identifique o que está funcionando e atualize o que não está.

Ao criar um programa de segurança, é sempre melhor projetá-lo pensando nas pessoas. Por exemplo, que nível de conhecimento técnico ou de segurança eles já possuem? E o conteúdo curto funcionaria melhor para funcionários em movimento? Considerar esses fatores garante que você esteja dando aos funcionários uma base sólida em segurança; uma base que ajuda a reduzir os riscos de segurança cibernética em toda a empresa.

À medida que os funcionários se tornam mais confiantes e conscientes da segurança, a sua formação deve crescer com eles. Fornecer conteúdo oportuno e personalizado não apenas fortalece as defesas da sua empresa, mas também mostra aos funcionários que seu tempo — e seu aprendizado — realmente importam”

Javed Hasan, CEO e cofundador, Lineaje

“O código aberto há muito tempo ancora o mundo do software, mas agora a IA está se tornando sua nova base. Cada modelo, conjunto de dados e pipeline agora funciona como uma dependência, que pode ser facilmente comprometida se não for devidamente protegida.

Há muito barulho sobre IA, então é fácil focar na inovação e ignorar a infraestrutura por trás dela. Mas a verdade é que obter IA segura é tão essencial quanto escrever código seguro — com o qual muitos desenvolvedores e equipes de segurança já estão tendo dificuldades. Sem visibilidade de como os modelos são construídos, enfrentaremos os mesmos problemas que enfrentamos no código aberto, o que causa 95% de fraquezas de software. O código aberto nos ensinou o custo de assumir confiança; a IA nos oferece uma rara chance de construí-la desde o início.

A próxima evolução da segurança da cadeia de suprimentos de software será definida pela forma como protegemos a inteligência. A IA não será apenas mais uma ferramenta na cadeia; é a nova fronteira. Neste Mês Nacional de Conscientização sobre Segurança Cibernética, é hora de tratar a IA com o mesmo rigor, transparência e responsabilidade que estamos apenas começando a manter no código aberto.”

Ao reconhecermos o Mês de Conscientização sobre Segurança Cibernética, fica claro que o futuro da segurança depende de quão bem nos adaptamos, trabalhamos juntos e construímos confiança em tudo o que fazemos. O aumento de novas ameaças e o papel cotidiano que as pessoas desempenham na prevenção delas mudaram o que significa permanecer seguro online. A verdadeira resiliência da segurança cibernética vem da combinação de tecnologia inteligente com conscientização, responsabilidade e responsabilidade compartilhada.

Fonte: Cybersecurity Insiders