Connect with us

Por que as empresas permanecem cautelosas em relação à IA — E como implantá-la de forma segura

Líderes de pensamento

Por que as empresas permanecem cautelosas em relação à IA — E como implantá-la de forma segura

mm
Published
Updated

A IA conquistou o mundo. Enquanto algumas organizações foram adotantes precoces, muitas empresas adotaram uma abordagem mais cautelosa — preocupadas com questões de privacidade, conformidade e operacionais que persistem até hoje.

Trabalhei em centenas de implantações envolvendo ferramentas de segurança alimentadas por IA e vi um padrão familiar se desenrolar. Campeões trazem entusiasmo inicial. Projetos-piloto mostram promessa. Em seguida, vêm debates internos, revisões legais e, eventualmente, uma pausa enquanto as organizações mergulham em paralisia analítica. Apesar do imenso potencial da IA para transformar as operações de segurança, muitas empresas ainda relutam em abraçá-la totalmente.

Na cibersegurança, a cautela é frequentemente o instinto correto. No entanto, adiar a implantação da IA não impedirá as ameaças alimentadas por IA que agora estão crescendo em escala e frequência. O desafio real é como adotar a IA de forma segura, deliberada e sem comprometer a confiança.

Aqui está o que aprendi na linha de frente — e o que recomendo para líderes de segurança que estão prontos para avançar com confiança.

1. O Problema da Confiança nos Dados

O primeiro e maior obstáculo é a gestão de dados. Muitas empresas estão aterrorizadas com a ideia de que dados sensíveis possam vazar, serem mal utilizados ou — o pior de tudo — serem usados para treinar um modelo que beneficie um concorrente. Violações de segurança de alto perfil e garantias vagas de fornecedores apenas reforçam esses medos.

Não é paranoia. Quando você lida com PII do cliente, propriedade intelectual ou dados regulamentados, entregar esses dados a um terceiro pode parecer uma perda de controle. E até que os fornecedores façam um melhor trabalho esclarecendo suas políticas sobre segregação de dados, retenção, envolvimento de quarta parte e treinamento de modelo, a adoção permanecerá cautelosa.

Aqui é onde a governança se torna crucial. CISOs devem avaliar fornecedores usando estruturas emergentes como a NIST AI Risk Management Framework ou ISO/IEC 42001, que oferecem orientação prática sobre confiança, transparência e responsabilidade em sistemas de IA.

2. Você Não Pode Melhorar o que Você Não Mede

Outro obstáculo comum é a falta de métricas de baseline. Muitas empresas não podem quantificar o desempenho atual, o que torna quase impossível provar o ROI das ferramentas de IA. Como você pode afirmar uma economia de eficiência de 40% se ninguém rastreou quanto tempo a tarefa levou antes da automação?

Seja qual for o MTTD, as taxas de falsos positivos ou as horas de analista de SOC economizadas, as organizações precisam começar medindo os fluxos de trabalho atuais. Sem esses dados, o caso para a IA permanece anedótico — e os patrocinadores executivos não assinarão iniciativas em larga escala sem números reais e defensáveis.

Comece a rastrear KPIs importantes agora, incluindo:

  • Tempo médio para detectar/responder (MTTD/MTTR)
  • Redução de falsos positivos, falsos negativos e volume de tickets
  • Tempo de analista economizado por incidente
  • Melhorias de cobertura (por exemplo, vulnerabilidades digitalizadas e corrigidas)
  • Incidentes resolvidos sem escalonamento

Essas baseline se tornarão a espinha dorsal de sua estratégia de justificativa de IA.

3. Quando as Ferramentas Funcionam Muito Bem

Ironicamente, uma das razões pelas quais a adoção da IA estagna é que algumas ferramentas funcionam muito bem — expostas a mais riscos do que a organização está preparada para lidar.

Plataformas avançadas de inteligência de ameaças, ferramentas de monitoramento da dark web e soluções de visibilidade alimentadas por LLM frequentemente revelam credenciais roubadas, domínios semelhantes ou vulnerabilidades anteriormente não detectadas. Em vez de criar clareza, essa visibilidade avassaladora pode gerar um novo problema: Por onde começar?

Já vi equipes desativarem digitalizações avançadas porque o volume de descobertas criou desconforto político ou orçamentário. Melhor visibilidade exige melhor priorização — e uma disposição para enfrentar problemas de frente.

4. Bloqueados em Contratos de Legado

Mesmo quando melhores ferramentas estão disponíveis, muitas empresas estão bloqueadas em acordos de vários anos com fornecedores de legado. Alguns desses contratos têm penalidades financeiras tão altas que mudar a meio prazo é um não começo.

A segurança de e-mail é um caso clássico. Soluções modernas agora oferecem detecção de ameaças alimentada por IA, modelagem comportamental e resiliência incorporada para ambientes híbridos. Mas se o seu fornecedor atual não acompanhou e você está preso em um acordo de cinco anos, você está essencialmente congelado no lugar até que o contrato expire.

Não é apenas sobre tecnologia. É sobre timing, aquisição e planejamento estratégico.

5. O Crescimento da IA Sombra

A adoção da IA não está acontecendo apenas de cima para baixo — está acontecendo em todos os lugares, frequentemente sem o conhecimento da segurança. Nossa pesquisa mostra que mais de 85% dos funcionários já estão usando ferramentas de IA como ChatGPT, Copilot e Bard. (para não mencionar DeepSeek e TikTok!)

Sem supervisão adequada, funcionários podem inserir dados sensíveis em ferramentas públicas, confiar em saídas alucinadas ou violar inadvertidamente políticas da empresa. É um pesadelo de conformidade e proteção de dados, e fingir que não está acontecendo não resolve o problema.

Líderes de segurança precisam adotar uma postura proativa:

  • Estabelecer políticas de uso aceitável
  • Bloquear aplicativos de IA não aprovados onde necessário e redirecionar esses usuários para ferramentas autorizadas
  • Implantar plataformas de IA seguras e aprovadas para uso interno
  • Treinar funcionários sobre uso responsável de IA

Nota de Campo: Políticas de Uso de IA não vão mudar o uso. Você não pode aplicar o que você não sabe, então o primeiro passo é quantificar o uso e, em seguida, ativar a aplicação.

6. Terceirização traz seus próprios Riscos

Poucas empresas têm a infraestrutura para construir e hospedar grandes modelos internamente. Isso significa que a terceirização é frequentemente o único caminho viável — mas traz riscos de terceiros e de cadeia de suprimentos que os CISOs conhecem muito bem.

Incidentes como SolarWinds, Kaseya e a recente violação da Snowflake destacam como confiar em parceiros externos sem visibilidade pode levar a exposições significativas. Quando você terceiriza a infraestrutura de IA, você herda a postura de segurança do fornecedor — boa ou ruim.

Não é suficiente confiar em uma marca. Exija clareza sobre:

  • Ciclo de vida do modelo e frequência de atualização
  • Protocolos de resposta a incidentes
  • Controles de segurança do fornecedor e histórico de conformidade
  • Isolamento de dados e controles de locatário

7. A Superfície de Ataque da IA está se Expandindo

À medida que as organizações abraçam a IA, elas também devem se preparar para vetores de ameaça específicos de IA. Atacantes já estão experimentando:

  • Envenenamento de modelo (alterando sutilmente dados de treinamento)
  • Injeção de prompt (manipulando o comportamento do LLM)
  • Entradas adversárias (bypassando detecção)
  • Exploração de alucinação (engando os usuários para confiar em saídas falsas)

Essas não são teóricas. São reais e em crescimento. À medida que os defensores adotam a IA, eles também devem adaptar suas estratégias de red teaming, monitoramento e resposta para considerar essa nova e única superfície de ataque.

8. Pessoas e Processos Podem ser o Verdadeiro Garrote

Um dos desafios mais subestimados é a preparação organizacional. Ferramentas de IA frequentemente exigem mudanças nos fluxos de trabalho, conjuntos de habilidades e mentalidades.

Analistas precisam entender quando confiar na IA, quando desafiá-la e como escalonar efetivamente. Líderes precisam integrar a IA nos processos de tomada de decisão sem automação cega de risco.

Treinamento, livros de jogadas e gestão de mudanças devem evoluir ao lado da tecnologia. A adoção da IA não é apenas uma iniciativa tecnológica. É uma iniciativa de transformação humana.

Então, o que Podemos Fazer?

Apesar dos desafios, acredito firmemente que os benefícios da IA na segurança superam os riscos — se feito corretamente. Aqui está como aconselho as organizações a avançar:

  • Comece Pequeno e Teste Rigorosamente
  • Escolha um caso de uso com impacto mensurável. Execute projetos-piloto controlados. Valide o desempenho. Construa confiança com dados, não hype.
  • Traga Legais, Riscos e Segurança Cedo
  • Não espere até a fase do contrato. Traga legais e conformidade para avaliar os termos de tratamento de dados, riscos regulamentares e implicações de cadeia de suprimentos antecipadamente.

Mensurar Tudo

Rastreie KPIs antes e após a implantação. Crie painéis que falem em termos de segurança e negócios. Métricas fazem ou quebram o financiamento da IA.

Escolha Parceiros com Provas Reais de Projetos Bem-sucedidos

Olhe além das demonstrações. Exija referências. Pergunte sobre suporte pós-venda, complexidade de implantação e resultados em ambientes como o seu.

O que Vem a Seguir? Casos de Uso Emergentes Dignos de Atenção

Ainda estamos no início da jornada da IA na segurança. CISOs visionários já estão explorando:

  • Copilotos de IA para Gerenciamento de Firewall, GRC e automação de conformidade
  • Utilizando feeds de ameaças aprimorados por IA que aceleram a resposta a ameaças zero-day e precisão
  • Simulação de ataque e equipe vermelha gerada por IA
  • Infraestrutura de auto-cura de vários fornecedores
  • Controles de identidade baseados em risco alimentados por IA comportamental

Esses casos de uso estão se movendo dos laboratórios de inovação para a produção. As organizações que construírem musculatura agora estarão muito melhor preparadas para capitalizar.

Pensamento Final: Atrasar não é Defesa

A IA está aqui e também estão as ameaças alimentadas por IA. Quanto mais você esperar, mais terreno você perderá. Mas isso não significa que você deve entrar cegamente.

Com planejamento cuidadoso, governança transparente e os parceiros certos, sua organização pode adotar a IA de forma segura — aumentando a capacidade sem sacrificar o controle.

O futuro da segurança é aumentado. A única pergunta é se você liderará ou ficará para trás.

Related Topics:
mm

Pete Nicoletti atua como CISO das Américas na Check Point Software Technologies, com papéis de liderança anteriores na Cybraics Defense, Hertz Global e Virtustream.