O Gatilho da IA nas Empresas: Quando a Adoção Antecedeu a Governança
A inteligência artificial (IA) já está dentro das empresas, mas a forma como ela entrou é um fenômeno inédito. Ao contrário de outras grandes transformações digitais, como a migração para a nuvem (cloud computing), que geralmente era uma decisão estratégica baseada em governança e planejamento, a adoção da IA foi impulsionada de baixo para cima. O marco zero para muitas organizações foi o lançamento do ChatGPT, que popularizou a tecnologia e a colocou nas mãos do usuário final.
O grande diferencial é que o usuário comum, em casa ou no celular, já estava usando IA antes mesmo de qualquer política corporativa ser discutida. Isso criou uma pressão natural: os colaboradores começaram a questionar por que não podiam usar as mesmas ferramentas no ambiente corporativo para serem mais produtivos. A pergunta deixou de ser 'se' a empresa usaria IA, para 'quem' está usando e com 'quais dados'.
Especialistas apontam que a IA surfou em um forte discurso de produtividade. O desejo de fazer as coisas mais rápido e melhor fez com que a adoção pela base de usuários ocorresse em uma velocidade que a área de segurança e governança não conseguiu acompanhar. Isso gerou um cenário onde as empresas estão correndo atrás de um gap de governança para atender a uma realidade que já é de mercado, criando um desafio único para os profissionais de segurança e TI.
O Paradoxo do Colaborador Bem-Intencionado: O Maior Risco Atual
Um dos pontos mais críticos levantados é a afirmação de que, atualmente, o colaborador bem-intencionado usando IA pode representar um risco maior do que ataques externos. Isso se deve ao fato de que o usuário, buscando apenas aumentar sua produtividade e aprender, pode, sem saber, compartilhar dados confidenciais com ferramentas de IA não homologadas, como o DeepSeek, sem saber onde essas informações serão armazenadas ou como serão tratadas.
O risco é potencializado quando o usuário utiliza a IA para realizar tarefas que ele não domina. Por exemplo, um profissional do setor financeiro usando IA para desenvolver código, sem ter conhecimento de práticas de segurança como Security by Design (Segurança por Design) ou Privacy by Design (Privacidade por Design). Nesses casos, ele pode introduzir vulnerabilidades em um ambiente que antes era considerado seguro. A IA, nesse contexto, é uma ferramenta poderosa que requer curadoria: o usuário precisa ter conhecimento para auditar e validar o resultado gerado pela ferramenta.
Historicamente, os riscos eram mais centralizados e conhecidos, como a falta de patches em sistemas legados. Hoje, esse risco se descentralizou e se espalhou para cada usuário que acessa uma IA não homologada, caracterizando o que se chama de Shadow AI. A capacidade de uma empresa mapear quais IAs estão sendo usadas, e principalmente o que está sendo compartilhado com elas, é um dos maiores desafios atuais, e poucas organizações têm uma visibilidade completa sobre isso.
Governança de IA: Um Comitê Multidisciplinar ou Responsabilidade da Segurança?
A resposta para a pergunta sobre quem deve liderar as conversas sobre governança de IA não é única, mas a visão de mercado aponta para a necessidade de um comitê multidisciplinar. A segurança da informação não pode ser a única voz, mas também não pode ser excluída do processo. O comitê deve envolver áreas como TI, RH, jurídico e, crucialmente, o negócio (produtos, operações), para entender como a IA será aplicada e qual será seu impacto.
A grande mudança de mindset sugerida é que a governança não pode ser uma etapa final (um 'vilão' que chega no fim para dizer 'não'), mas sim parte integrante do processo desde o início. A estratégia é aproximar a segurança do usuário final para entender suas dores. Não se trata de travar a inovação, mas de criar 'fast tracks' (vias rápidas) para experimentações controladas (MVPs), enquanto processos mais críticos passam por uma análise mais rigorosa.
Uma abordagem defendida para a governança é entender três dimensões: política (o que é permitido), governança (como é gerenciado) e enforcement/auditoria (como se garante que a política está sendo seguida). O gap de muitas empresas pode estar em qualquer uma dessas áreas, e o objetivo é trazer visibilidade para criar procedimentos que enderecem dores reais de negócio.
A Visão do Board: Hype ou Estratégia?
Existe a percepção de que os boards e conselhos de administração, muitas vezes, enxergam a IA mais como um 'hype' ou uma ferramenta de aceleração do negócio do que compreendem profundamente os riscos associados. Por um lado, há pressão de cima para baixo (top-down) para usar a IA, impulsionada pela necessidade de inovação e medo de ficar para trás.
Por outro lado, os profissionais de segurança ainda têm um gap histórico em tangibilizar riscos em termos de negócio. Levar um relatório de 3.000 vulnerabilidades para a diretoria é ineficaz. O verdadeiro valor está em traduzir vulnerabilidade e exposição em risco de negócio, quantificando o impacto financeiro e operacional. É papel dos profissionais de segurança 'catequizar' o negócio, criando uma cultura de risco e demonstrando que a segurança é um habilitador, e não um travador.
Adoção vs. Governança de IA: Uma Divisão Crucial que Muitas Empresas Não Enxergam
Existe uma confusão fundamental no mercado entre adoção de IA e governança de IA. A adoção é relativamente simples: qualquer pessoa pode acessar uma ferramenta de IA e começar a usá-la. A governança, no entanto, é um processo complexo que envolve políticas, processos, análises de risco e, muitas vezes, a implementação de ferramentas específicas para controle e monitoramento.
Enquanto os usuários, especialmente em áreas técnicas como engenharia, já adotaram a IA extensivamente, a discussão dentro das empresas está se movendo rapidamente para a fase de governança: como colocar os 'guarda-raios'. As perguntas agora são: quais ferramentas podem ser usadas? O que pode ser compartilhado? Quem pode acessar e como? A velocidade com que a produtividade está sendo automatizada é muito maior do que a velocidade com que a segurança está sendo automatizada, criando um desequilíbrio perigoso.
IA no SOC: Acelerando a Corrida ou Apenas Aumentando a Velocidade?
A IA apresenta um paradoxo para os times de segurança (SOC). Por um lado, ela é uma aliada poderosa, especialmente na análise comportamental, ajudando a identificar desvios de padrão que seriam impossíveis de detectar manualmente. Por outro lado, a IA generativa também acelera a capacidade do atacante, que não tem filtros ou governança, podendo escalar ataques em uma velocidade impossível de ser acompanhada por um time humano.
O modelo tradicional de SOC, que se baseia em receber logs e aplicar regras de análise estáticas, está obsoleto. A IA torna possível criar ataques com muito mais rapidez e sofisticação. Estudos indicam que, usando a mesma tecnologia, o atacante pode ter sucesso em 8 minutos, enquanto a defesa pode levar 14 minutos, mostrando a disparidade inerente. A solução passa por repensar o modelo de SOC, integrando análise de comportamento, gestão de identidade e uma visão de negócio para entender o que é um desvio significativo.
O Futuro do Analista de SOC N1
O papel do analista de SOC de nível 1 (N1) está com os dias contados em sua forma atual. Funções que envolvem a visualização e triagem manual de alertas serão substituídas por agentes de IA. No entanto, a IA não eliminará o emprego, mas sim o transformará. O analista precisará evoluir para um papel de supervisão e curadoria das ações da IA, tornando-se um especialista que conhece profundamente a arquitetura e o contexto do negócio para auditar as decisões automatizadas.
Isso levanta uma questão sobre a formação profissional: como um analista se torna um especialista (N2, N3) se ele não vivenciou a prática do nível N1? A resposta está na necessidade de uma base sólida de conhecimento, que a formação acadêmica muitas vezes não oferece. Profissionais com background em infraestrutura têm uma vantagem, pois possuem uma visão de negócio e experiência prática que são cruciais para entender o contexto de um alerta. A tendência é que as empresas precisem investir cada vez mais na qualificação interna, um desafio em um mercado onde o talento qualificado é escasso e rapidamente disputado.
IA em Ambientes Críticos (OT): O Cuidado com a Interrupção Operacional
Em indústrias e ambientes de tecnologia operacional (TO), o impacto da IA é um tema ainda mais sensível. Enquanto em TI o maior risco é o vazamento de dados, em TO o pior cenário é a interrupção operacional, que pode paralisar uma linha de produção, gerar perdas financeiras imensas e comprometer a qualidade do produto.
Embora os engenheiros sejam os que mais consomem IA para produtividade, ainda há um receio em implementá-la para decisões autônomas em processos críticos. Atualmente, a IA é majoritariamente usada como um sistema de suporte, que faz recomendações, mas a decisão final ainda cabe ao operador humano. Isso se deve à falta de clareza regulatória (por exemplo, para a indústria farmacêutica e de alimentos) e ao medo de que a IA, por ser treinada com dados de qualidade variável, tome uma decisão errada, gerando um produto fora da especificação.
O futuro dessa integração é incerto, mas a tendência é que, em breve, as IAs em uma cadeia de suprimentos conversem entre si para acelerar o negócio. A pergunta que fica é: como gerenciar e controlar a comunicação entre esses sistemas autônomos? Aquele que conseguir resolver essa questão pode ter uma vantagem competitiva imensa nos próximos anos.
Segurança é um Problema de Negócio
Para finalizar, a principal conclusão é que tanto a segurança quanto a IA devem ser tratadas como problemas de negócio, e não apenas como responsabilidades da área de TI ou segurança. Historiamente, a segurança foi desassociada do negócio, vista como um centro de custo. Com a IA, essa disfunção torna-se ainda mais prejudicial.
O papel da segurança, no futuro, não é mais travar a inovação. O concorrente está usando IA e, se a sua empresa não usar, ficará para trás. A decisão correta não é entre adotar ou não adotar, mas sim como adotar com governança. O grande risco não é apenas o uso indevido, mas a oportunidade perdida de acelerar o negócio e ficar para trás no mercado.
Profissionais de segurança devem atuar como catalisadores, aproximando-se dos usuários e das dores do negócio para entender e permitir meios seguros de inovação, em vez de apenas criarem barreiras. A governança e o controle são problemas de segurança, mas a definição do 'como' a IA estará na organização é uma questão estratégica do negócio.