Segurança na era da IA exige fundamentos sólidos, governança eficaz e métricas vivas para reduzir riscos e acelerar respostas
A inteligência artificial transformou-se no motor da produtividade contemporânea, mas, como uma força da natureza, seu poder é ambivalente. Se por um lado ela otimiza defesas, por outro, acelera a escala, a velocidade e a sofisticação dos ataques cibernéticos. Em 2025, o custo médio global de uma violação de dados foi estimado em US$ 4,4 milhões, um número que, no Brasil, alcança a cifra de R$ 7,19 milhões. Contudo, o dado mais revelador talvez seja que, mesmo em meio a tamanha evolução tecnológica, o fator humano permaneça como corresponsável por aproximadamente 60% dos incidentes.
Estes vetores de ameaça não nos convidam, mas nos compelem a atualizar nossas práticas. A resposta, entretanto, não está em abandonar os alicerces da segurança, mas em fortalecê-los com novas camadas de governança e disciplina. Defendo uma tese direta: a segurança efetiva na era da IA resulta da combinação indissociável entre fundamentos clássicos, uma governança de IA robusta e uma disciplina operacional orientada por métricas. A tecnologia por si só é insuficiente; a resiliência nasce dessa tríade.
Primeiramente, é preciso revisitar os fundamentos. A tecnologia avança, mas as vulnerabilidades exploradas com mais frequência ainda residem em pessoas e processos. A engenharia social, materializada em campanhas de phishing cada vez mais convincentes graças à IA generativa, continua sendo uma porta de entrada primária. Portanto, o treinamento contínuo e as simulações mensuráveis não são meras formalidades, mas mecanismos vitais para alterar o comportamento e fortalecer a primeira linha de defesa. Da mesma forma, a arquitetura Zero Trust — que opera sob o princípio da verificação contínua e do privilégio mínimo — deixa de ser uma opção para se tornar o padrão arquitetônico essencial. Em um ambiente de conectividade híbrida e difusa, a identidade é o novo perímetro, e a autenticação multifator (MFA) obrigatória é sua salvaguarda inegociável.
Veja também: O cérebro como perímetro: zero trust neural e a ascensão do “mind as a service”
Em segundo lugar, a governança de IA surge como o pilar que endereça os riscos específicos deste novo domínio. A adoção desenfreada de ferramentas de IA sem supervisão, um fenômeno conhecido como Shadow AI, cria superfícies de ataque invisíveis e perigosas. Aplicações baseadas em Modelos de Linguagem Grandes (LLMs) introduzem vetores de ataque inéditos, como prompt injection e envenenamento de dados, catalogados por iniciativas como o OWASP Top 10 para LLM. A resposta a essa nova fronteira de risco não é técnica, em sua essência, mas de gestão. Estruturas como a norma ISO/IEC 42001 e o NIST AI Risk Management Framework (RMF) fornecem os instrumentos para criar políticas claras, mapear riscos por caso de uso e estabelecer um sistema de gestão auditável para a inteligência artificial.
Finalmente, a disciplina operacional, traduzida em métricas claras, transforma a estratégia em realidade. O sucesso em cibersegurança não deve ser medido pela ausência de incidentes, mas pela velocidade e eficácia da resposta. Métricas como o Tempo Médio para Detecção (MTTD) e o Tempo Médio para Resposta (MTTR) funcionam como a bússola que guia as equipes de segurança. Organizações que utilizam automação e IA em seus centros de operações de segurança, sempre sob supervisão humana e com políticas claras, demonstram uma capacidade drasticamente superior de reduzir esses tempos. A disciplina se manifesta em playbooks bem definidos, em testes de restauração de backups que realmente funcionam e em exercícios de simulação que envolvem não apenas a equipe técnica, mas também as áreas de negócio, jurídica e de comunicação.
A confluência destes três eixos — fundamentos, governança e disciplina — pode ser materializada em um plano de ação pragmático, como um modelo 3×3 a ser implementado em 90 dias. Nos primeiros 30 dias, o foco é estabelecer as bases: publicar uma política de uso de IA e universalizar o MFA. Nos 60 dias seguintes, a ênfase passa para a prática: executar simulações de phishing e iniciar automações de resposta de baixo risco. Aos 90 dias, a maturidade aumenta com a adoção de perfis de risco do NIST AI RMF para os casos de uso mais críticos e a realização de testes integrais de restauração.
A cibersegurança deixou de ser um problema exclusivamente técnico para se tornar um desafio de gestão e cultura. A tecnologia nos oferece ferramentas, mas a resiliência é, e sempre será, uma escolha. É uma escolha diária, que exige métricas para nos guiar, método para nos organizar e a coragem para executar com disciplina.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
Fábio Correa Xavier é Diretor do Departamento de Tecnologia da Informação (CIO) do Tribunal de Contas do Estado de São Paulo, onde lidera projetos de inovação, transformação digital e cibersegurança. É também Professor e Coordenador de Graduação e Pós-Graduação em diversas instituições de ensino, além de Colunista do MIT Technology Review, onde escreve sobre temas relacionados à tecnologia e sociedade. Possui formação acadêmica sólida, com Mestrado em Ciência da Computação pela USP, MBA em Gestão de Negócios pelo IBMEC/RJ, Especialização Network Engineering pela JICA-Japão, Pós-graduação em Lei Geral de Proteção de Dados, Direito Público, Gestão Pública e Responsabilidade Fiscal e Projetos de Redes. Possui ainda certificações internacionais em privacidade e proteção de dados, como IAPP CIPM e CDPO/BR, EXIN Privacy and Data Protection e (ISC)² CC.
Com mais de 30 anos de experiência na área de tecnologia e segurança da informação, atuou em empresas de grande porte, do setor público e privado, sendo reconhecido por diversos prêmios e homenagens, como o Prêmio de Inovação Judiciário Exponencial, o Ranking 100 Empresas + Inovadoras no Uso de TI, o Prêmio Empresa +Digital, o Prêmio Security Leaders Case do Ano, entre outros. Além da sua atuação profissional e acadêmica, dedica-se a trabalhos voluntários como Secretário Executivo do Comitê Gestor de Tecnologia, Governança e Segurança da Informação dos Instituto Rui Barbosa – IRB e Membro do Conselho de Administração do Instituto do Câncer Dr. Arnaldo.
É autor dos livros “LGPD no setor público: boas práticas para os municípios brasileiros”, “LGPD no setor público: Boas práticas para a jornada de adequação”, “Roteadores Cisco: guia básico de configuração e operação”, “Tecnologias, Inovação e outros assuntos em análise” e “Cartilha de Governança em Proteção de Dados para Municípios”. Também é autor de capítulos em livros sobre a Lei Geral de Proteção de Dados Pessoais e os Tribunais de Contas Brasileiros.
Login
