Pesquisa da Tenable mostra desafios da Segurança na nuvem e IA

Pesquisa da Tenable mostra desafios da Segurança na nuvem e IA, organizações estão lutando para acompanhar crescimento e complexidade do novo ambiente e manter a segurança .

34% das organizações com workloads de IA já sofreram violações relacionadas à tecnologia; um rápido crescimento de sistemas híbridos, multinuvem e de IA criando pontos cegos e complexidades que resultam em riscos

A Tenable® (NASDAQ: TENB), empresa de Exposure Management, lança o relatório “O Estado da Segurança de IA e Nuvem 2025” em parceria com a Cloud Security Alliance (CSA), que revela que o rápido crescimento de sistemas híbridos, multinuvem e de IA ultrapassou as estratégias de segurança em nuvem, criando novas camadas de complexidade e risco. O saldo disso é visibilidade desarticulada, governança inconstante de identidades e lacunas no monitoramento de riscos que os invasores podem explorar. Os dados mostram que 34% das organizações com workloads de IA já sofreram violações relacionadas à tecnologia e, ainda, 14% disseram não ter certeza.

Ambientes complexos dominam, mas segurança não acompanha o ritmo

De acordo com o estudo, 82% das organizações agora operam ambientes híbridos que abrangem ambientes locais e na nuvem, e 63% usam mais de um provedor de nuvem. Paralelamente, 55% das empresas já utilizam IA em produção.

As práticas de proteção não acompanham o ritmo da adoção: apenas 26% realizam testes específicos de segurança em IA, 22% classificam e criptografam dados de IA e somente 15% implementaram práticas de MLOps (operações de Machine Learning) com foco em segurança. Os problemas resultantes são visibilidade desarticulada, governança inconstante de identidades e lacunas no monitoramento de riscos que os invasores podem explorar.

Para proteger essa infraestrutura fragmentada, as organizações contam com ferramentas projetadas para abranger a nuvem e o local. O monitoramento de segurança unificado e a priorização de riscos (58%), o gerenciamento da postura de segurança na nuvem (CSPM) (57%) e detecção e resposta estendidas (XDR) (54%) são os controles mais usados em ambientes híbridos. Isso sinaliza uma mudança de ferramentas isoladas ou nativas do provedor para mecanismos mais amplos de visibilidade e controle que podem acompanhar a complexidade da infraestrutura híbrida.

Identidade é elo mais frágil da segurança em nuvem

A identidade emergiu como principal vulnerabilidade: 59% das organizações detectaram identidades desprotegidas e permissões perigosas como o principal risco de segurança à infraestrutura da nuvem. Entre as empresas que sofreram violações, três das quatro principais causas estavam relacionadas à identidade: excesso de permissões (31%), controles de acesso inconsistentes (27%) e má higiene de identidade (27%).

Embora reconheçam o problema, as empresas enfrentam lacunas estruturais para lidar com ele. Segundo aponta a pesquisa, 28% relatam desalinhamento entre equipes de nuvem e IAM, e 21% têm dificuldade em aplicar o princípio de menor privilégio. Para fechar a lacuna, as organizações estão priorizando arquiteturas Zero Trust e implementando privilégios mínimos para identidades, que foi a prioridade de segurança da nuvem mais selecionada para os próximos 12 meses (44%). No entanto, as práticas de medição continuam em estágio inicial. Quarenta e dois por cento das organizações monitoram as taxas de adoção de autenticação multifator (MFA) ou logon único (SSO), o KPI de IAM mais comum, mas isso só mostra se os controles estão em vigor, não se eles são eficazes. Poucas organizações monitoram indicadores mais profundos de risco de identidade, como uso indevido de privilégios, anomalias de acesso ou abuso de identidade não humana.

Incidentes têm causas conhecidas, mas foco ainda está em riscos “novos”

Os incidentes de IA, na prática, estão sendo causados por ameaças tradicionais, como vulnerabilidades de software (21%), falhas de modelos (19%), ameaças internas (18%) e configurações incorretas na nuvem (16%). No entanto, os times de segurança concentram preocupações em riscos considerados “novos”, como manipulação de modelos (18%) e uso de modelos não-autorizados (15%), demonstrando um desalinhamento entre percepção de risco e realidade. Esse desalinhamento sugere que muitos programas de segurança ainda tratam a IA como algo fundamentalmente novo, em vez de aplicar princípios comprovados de segurança da nuvem e identidade a esses novos sistemas.

Lacuna de conhecimento impede alinhamento estratégico

O estudo identifica que 34% dos entrevistados apontam a falta de conhecimento especializado como o principal desafio. Além disso, 31% afirmam que sua liderança executiva não tem conhecimentos suficientes dos riscos de segurança da nuvem, enquanto 20% observam que líderes acreditam que as ferramentas integradas do provedor de nuvem são “boas o suficiente”. Quando indagados sobre as barreiras para a implementação de novos recursos de segurança da nuvem, os entrevistados apontaram estratégia pouco clara (39%), orçamento insuficiente (35%) e desvios de recursos para outras prioridades (31%) — todos sintomas de que a liderança está enfrentando dificuldades para definir a direção, avaliar as compensações ou compreender totalmente os riscos que estão em jogo.

“A corrida pela IA em nuvem já começou – e as organizações no Brasil estão competindo com a proteção ainda no banco de reservas”, afirma Arthur Capella, diretor-geral da Tenable Brasil. “Se a segurança não avançar no mesmo ritmo da inovação, a transformação digital corre o risco de ser construída sobre alicerces frágeis. O futuro pertence a quem for capaz de alinhar velocidade com segurança.”

Quando indagados sobre as barreiras para a implementação de novos recursos de segurança da nuvem, os entrevistados apontaram estratégia pouco clara (39%), orçamento insuficiente (35%) e desvios de recursos para outras prioridades (31%) — todos sintomas de que a liderança está enfrentando dificuldades para definir a direção, avaliar as compensações ou compreender totalmente os riscos que estão em jogo.

Caminho para a maturidade

Os controles de segurança ilustram ainda mais o desequilíbrio. Mais da metade das organizações (51%) contam com estruturas de conformidade, como NIST AI RMF ou EU AI Act, para guiar suas iniciativas de segurança de IA. O alinhamento regulatório é essencial e oferece uma base necessária, mas as estruturas, por si só, não foram criadas para acompanhar a velocidade e a complexidade da adoção da IA.

Um programa de segurança sólido deve abordar proativamente o perfil de risco específico da organização. No entanto, a baixa adoção das principais proteções técnicas sugere que muitas organizações param na conformidade. Apenas 26% realizam testes de segurança específicos para IA, como a formação de red teams”, apenas 22% classificam e criptografam dados de IA e apenas 15% implementam práticas de segurança de MLOps. Essa postura de conformidade pesada, mas tecnicamente superficial, pode deixar as
workloads de IA expostas.

Para fortalecer os programas de segurança em nuvem e IA, o estudo recomenda que as organizações:

Priorizem a visibilidade unificada e a aplicação consistente de políticas em ambientes híbridos e multinuvem
Invistam em governança de identidade, incluindo controles para identidades com privilégios mínimos e não humanas (IA)
Expandam os KPIs para refletir a prevenção e a resiliência, não apenas a resposta a incidentes
Alinhem o entendimento da liderança com as realidades operacionais para apoiar um planejamento e alocação de recursos mais inteligentes
Vão além da conformidade como o limite máximo da segurança de IA, usando-a como ponto de partida para salvaguardas técnicas mais profundas

“Estamos no meio da evolução mais rápida da história da computação em nuvem. Infelizmente, como nossa pesquisa deixou claro, muitas estratégias de segurança já estão atrasadas”, disse Jim Reavis, cofundador e CEO da Cloud Security Alliance. “Os riscos de ficar parado e não fazer nada aumentam a cada dia. As organizações precisam repensar sua abordagem e criar defesas adaptáveis e preparadas para o futuro, capazes de evoluir tão rápido quanto a tecnologia que protegem.”

“A maturidade da segurança não virá apenas das ferramentas. Ela requer um esforço coordenado entre equipes, liderança e estratégia. As organizações bem-sucedidas serão aquelas que construírem estruturas para entender, priorizar e reduzir riscos antes que os incidentes ocorram”.

Para viabilizar essa redefinição estratégica, o Tenable Cloud Security ajuda as organizações a unificar a visibilidade e o gerenciamento de riscos em seus ambientes de TI, híbridos e multinuvem. Ele aborda identidade, configurações incorretas e governança de acesso diretamente, ao mesmo tempo em que permite que equipes integrem exposições específicas de IA em suas estratégias de risco. Assim, as equipes de segurança podem sair de um gerenciamento reativo de incidentes para uma abordagem proativa de gerenciamento de exposição.

Faça download do relatório aqui.

Mais informações sobre o Tenable Cloud Security estão disponíveis em https://pt-br.tenable.com/cloud-security

Sobre a Pesquisa

O relatório “The State of Cloud and AI Security 2025” foi desenvolvido pela Cloud Security Alliance (CSA) em parceria com a Tenable. O estudo foi conduzido em maio de 2025 e recebeu 1.025 respostas de profissionais de TI e segurança de organizações de diferentes portes, setores e regiões (América do Norte, América Latina, EMEA e Ásia-Pacífico).

Fonte: Pesquisa Tenable