Cultura e colaboração se tornam o verdadeiro escudo da cibersegurança

A cada dia, 475 mil novas ameaças cibernéticas surgem no mundo. O número, citado por Claudio Martinelli, vice-presidente da Kaspersky para as Américas, serviu de alerta em painel no IT Forum Na Mata Cibersegurança, realizado nos dias 6 e 7 de novembro, no Distrito Itaqui, distrito verde de inovação e tecnologia em Itapevi (SP).

A discussão, que reuniu líderes de tecnologia e segurança da informação de empresas de diferentes setores, girou em torno de um tema urgente: como garantir governança e segurança em um cenário complexo marcado pela escassez de talentos, pressão da inteligência artificial (IA) e aumento das ameaças virtuais.

“Faltam hoje cerca de 4,5 milhões de profissionais de segurança no mundo, sendo 300 mil só no Brasil. Isso mostra o tamanho do buraco que precisamos cobrir.” Diante desse déficit, a terceirização se tornou não apenas inevitável, mas estratégica, desde que feita com responsabilidade.

Os executivos convergiram que o modelo de parceria exige maturidade e, acima de tudo, cultura. Valdemir Silveira, CEO da APIPASS, comparou o gestor de segurança a um maestro. “Você pode ter músicos convidados, mas quem rege é você. As regras precisam estar claras sobre o que cada um faz e até onde vai sua responsabilidade.”

Daniel Bragion, CEO da Buildbox, destacou que segurança não é um atributo técnico, mas uma cultura transversal. “O desenvolvimento terceirizado precisa seguir as mesmas boas práticas da casa. O problema não é terceirizar, é renunciar à governança.”

Na prática, isso significa criar guardrails, padrões e auditorias que definem o nível de risco aceito. “Cada empresa decide quanta segurança está disposta a ter, e isso tem impacto direto no negócio”, completou.

O equilíbrio entre segurança e usabilidade foi outro ponto sensível da conversa. “Segurança não pode ser o freio dos negócios”, disse Martinelli. “Ela precisa estar embutida desde o início, como um airbag no carro.”

Michel Lopes, CEO da Labsit, defendeu uma abordagem mais pragmática. “Nem toda regra é absoluta. Às vezes, um código aberto pode ser usado com segurança, dependendo do contexto. O papel do CISO é garantir flexibilidade sem perder o controle.” Para ele, proteger o negócio não significa travá-lo. Significa construir segurança desde a origem, sem transformar o compliance em obstáculo à inovação.

IA como novo vetor de risco

A discussão evoluiu naturalmente para a IA, a nova fronteira da segurança digital. Os participantes relataram um cenário em que as áreas de negócio adotam ferramentas de IA sem a supervisão da TI, fenômeno que acontece na esteira da shadow IT, desafiando o departamento de segurança.

“Durante a pandemia, vimos o shadow IT explodir com o uso de Zoom e Google Meet. Agora vivemos o shadow IT da IA”, alertou Martinelli. Ele recomendou “compartimentalizar acessos” e restringir privilégios. “Nem todo mundo precisa ver tudo”.
Lopes complementou que o maior risco é o usuário adotar IA por conta própria, com login gratuito e sem política corporativa. “A empresa precisa oferecer as ferramentas certas e educar seus times”, alertou.

A provocação da plateia sobre como treinar usuários que agora têm ‘inteligência’ a seu favor acendeu um debate sobre cultura e capacitação. Bragion apontou que IA pode ser aliada também na auditoria e no treinamento. “Usamos IA para testar código e avaliar aderência aos processos, reduzindo falhas humanas”, contou.

Desafio jurídico e ético

Entre as provocações mais densas, uma delas trouxe à tona o impasse regulatório. Quem é responsável quando a IA erra? A questão jurídica foi abordada sob o prisma do vácuo legislativo.

Uma das participantes lembrou que a IA generativa é uma tecnologia “estocástica”, baseada em probabilidades, o que a torna imprevisível e, portanto, difícil de responsabilizar. Hoje, a responsabilidade ainda recai sobre a pessoa física ou jurídica por trás do uso da ferramenta.

Martinelli defendeu a criação de “freios e contrapesos”, legais, éticos e técnicos, para evitar que a IA “vire algo apocalíptico”. Já Lopes reforçou que o olhar humano continuará sendo indispensável. “Nenhum código deve ser implantado sem validação humana”, completou.

Soberania de dados e cibersegurança

O tema da soberania digital surgiu no fechamento do painel, puxado por uma reflexão sobre políticas públicas e investimentos em IA no Brasil. Foi lembrada a estratégia federal de IA, que prevê bilhões em investimentos, e o projeto do Governo de São Paulo para processar modelos na infraestrutura estatal da Prodesp, uma tentativa de manter os dados do cidadão sob jurisdição nacional.

Sobre o tema, Martinelli emendou que a riqueza do século XXI não é o petróleo, é o dado. “Se ele está na Irlanda, na Turquia ou no Arizona, ele obedece a leis que você não controla’, assinalou.

O debate sobre cibersegurança está longe de se esgotar, mas a conclusão foi a de que segurança digital exige empatia, educação e propósito coletivo.