Governança

A cibersegurança enfrenta uma transformação drástica com a evolução da inteligência artificial (IA). Segundo um estudo da ViperX, o tempo necessário para explorar uma vulnerabilidade caiu de dois anos para apenas cinco dias entre 2024 e 2025. Rodolfo Almeida, COO da ViperX, destacou em sua participação na RSA Conference 2025 que a adoção da IA por criminosos digitais resultou em fraudes mais sofisticadas e difíceis de detectar. Um exemplo alarmante foi um caso em que um funcionário transferiu US$ 25 milhões após uma videochamada com um deepfake que se passava pelo CFO da empresa. Essa nova realidade exige que as empresas não apenas adotem tecnologias de segurança, mas que também implementem uma governança eficaz para acompanhar a evolução das ameaças. Almeida enfatizou que a segurança não deve ser vista como uma compra pontual, mas como um processo contínuo que requer monitoramento e adaptação constantes. A pesquisa da Vantico revelou que 87% dos profissionais de segurança notaram um aumento nos riscos associados à IA, e 63% das empresas ainda carecem de políticas de governança adequadas. Portanto, o descompasso entre a rápida adoção da IA e a maturidade das práticas de segurança é um dos maiores desafios atuais.

Um novo estudo da KPMG revela que, apesar de 74% dos líderes globais planejarem manter a inteligência artificial (IA) como prioridade de investimento, muitos hesitam em dar o primeiro passo devido a preocupações com segurança de dados e privacidade. Embora 64% das organizações reconheçam que a IA está gerando valor significativo, 75% ainda carecem de um plano abrangente para gerenciar esses riscos. A pesquisa destaca que apenas 11% das empresas se qualificam como ’líderes em IA’, e que alcançar esse status é crucial, pois 82% desses líderes percebem um valor significativo em suas iniciativas de IA, em comparação com 62% dos não líderes. A KPMG enfatiza que as empresas devem ver a IA como uma transformação organizacional e não apenas como uma adição às suas operações atuais. Para isso, é essencial investir em treinamento e desenvolvimento de pessoal, além de garantir a qualidade dos dados e a governança adequada. O estudo sugere que as empresas que investem em suas equipes são quase quatro vezes mais propensas a perceber o valor da IA.

Em 25 de fevereiro de 2026, a Gartner lançou seu primeiro Market Guide para Guardian Agents, uma nova categoria emergente no campo da cibersegurança. Os Guardian Agents são definidos como supervisores de agentes de IA, garantindo que suas ações estejam alinhadas com os objetivos e limites estabelecidos. A adoção de agentes de IA nas empresas está crescendo rapidamente, com quase 70% já utilizando esses sistemas, mas a Gartner alerta que essa rápida implementação está superando os controles de governança tradicionais, aumentando os riscos de falhas operacionais e não conformidade. O artigo destaca a importância da supervisão dos agentes de IA, apresentando três áreas principais de capacidades essenciais: visibilidade e rastreabilidade, garantia contínua e avaliação, e inspeção e aplicação em tempo de execução. Além disso, a Gartner identifica seis abordagens emergentes para a entrega e integração de soluções de Guardian Agents, cada uma com suas vantagens e desvantagens. A crescente complexidade e os riscos associados à implementação de agentes de IA exigem que as empresas adotem uma governança robusta e um controle eficaz para mitigar potenciais incidentes de segurança.

As ferramentas de inteligência artificial (IA) estão se tornando cada vez mais comuns nas organizações, o que leva as equipes de TI e segurança a repensarem suas abordagens. O foco agora é na segurança e governança dessas ferramentas, que muitas vezes são integradas sem o conhecimento da equipe de TI. Para lidar com esse novo risco, a Nudge Security oferece uma solução que permite a descoberta contínua, monitoramento em tempo real e governança proativa das ferramentas de IA.

O Modelo Contexto de Protocolo (MCP) está se consolidando como uma ferramenta essencial para a integração de agentes de IA em ambientes corporativos. Ao permitir acesso estruturado a aplicações, APIs e dados, o MCP transforma modelos de linguagem em agentes autônomos que podem automatizar fluxos de trabalho empresariais. A adoção desses agentes, como Microsoft Copilot e Zendesk bots, está crescendo rapidamente, mas a governança e os controles necessários para gerenciá-los ainda estão em desenvolvimento. Um dos principais desafios é que esses agentes não se comportam como humanos, não passam por processos de RH e podem operar com identidades não gerenciadas, conhecidas como ‘dark matter’. Isso gera riscos significativos, pois esses agentes podem explorar acessos não monitorados e acumular permissões excessivas ao longo do tempo. Para mitigar esses riscos, especialistas recomendam que as empresas adotem princípios de governança que incluam a associação de agentes a operadores humanos, acesso dinâmico e consciente do contexto, e visibilidade das ações dos agentes. A implementação cuidadosa do MCP é crucial para garantir que esses agentes se tornem aliados confiáveis, em vez de riscos ocultos.

O EC-Council, conhecido por suas credenciais em cibersegurança, lançou a Enterprise AI Credential Suite, que inclui quatro novas certificações focadas em Inteligência Artificial (IA) e uma atualização do programa Certified CISO v4. Essa iniciativa surge em um contexto de crescente adoção de IA, onde se estima que o risco global não gerenciado pode alcançar US$ 5,5 trilhões, e há uma necessidade de requalificação de 700 mil trabalhadores nos Estados Unidos. As novas certificações visam preencher a lacuna entre a rápida adoção de IA e a prontidão da força de trabalho, alinhando-se às prioridades do governo dos EUA em desenvolvimento de habilidades e educação em IA. As certificações incluem: Artificial Intelligence Essentials (AIE), Certified AI Program Manager (CAIPM), Certified Offensive AI Security Professional (COASP) e Certified Responsible AI Governance & Ethics (CRAGE). O Certified CISO v4 foi reformulado para preparar líderes em cibersegurança para gerenciar riscos associados a sistemas de IA. Com 87% das organizações relatando ataques impulsionados por IA, a urgência por profissionais qualificados é evidente, especialmente em um cenário onde a maioria do talento em IA está concentrada em apenas 15 cidades dos EUA.

O artigo de Ido Shlomo, CTO e cofundador da Token Security, destaca a crescente presença de agentes de IA autônomos nas empresas e os riscos associados à sua gestão de identidade. Tradicionalmente, as organizações gerenciavam identidades de humanos e máquinas, mas os agentes de IA não se encaixam perfeitamente em nenhuma dessas categorias. Eles são adaptáveis, operam em alta velocidade e podem realizar ações sem supervisão humana, o que cria lacunas significativas na governança de identidade. A falta de visibilidade sobre esses agentes leva a um crescimento descontrolado de identidades, tornando-as alvos fáceis para atacantes. O artigo sugere que a gestão do ciclo de vida das identidades dos agentes de IA deve ser contínua e em tempo real, garantindo visibilidade, responsabilidade e o princípio do menor privilégio. Além disso, enfatiza a importância de descobrir e monitorar esses agentes para evitar riscos de segurança. A gestão eficaz das identidades dos agentes de IA é apresentada como uma solução para mitigar riscos sem comprometer a inovação nas organizações.

A inteligência artificial (IA) se tornou uma parte integral das operações empresariais, automatizando processos e auxiliando na tomada de decisões. No entanto, à medida que a IA acessa dados sensíveis e executa ações, ela se transforma em um vetor de risco potencial. Pesquisas da Tenable indicam que a IA pode ser manipulada para facilitar ataques internos, utilizando técnicas como injeção indireta de instruções. Isso altera a abordagem tradicional de segurança, que se focava apenas em invasões externas. A popularização de ferramentas no-code, que permitem que mais colaboradores criem agentes de IA, aumenta a exposição a riscos, como vazamentos de dados e fraudes financeiras. Para mitigar esses riscos, é crucial que as lideranças empresariais respondam a três perguntas fundamentais sobre o uso da IA em suas organizações. A governança deve ser proporcional ao impacto, envolvendo práticas como mapeamento de ferramentas, classificação de dados e monitoramento de interações. A maturidade em IA será medida não pela rapidez de adoção, mas pela capacidade de controle e segurança na sua implementação.

Uma pesquisa recente analisou 4.700 sites líderes e revelou que 64% das aplicações de terceiros acessam dados sensíveis sem justificativa comercial, um aumento significativo em relação aos 51% registrados em 2024. O estudo destaca um aumento alarmante de atividades maliciosas no setor governamental, que saltou de 2% para 12,9%, e revela que 1 em cada 7 sites educacionais apresenta sinais de comprometimento. Ferramentas como Google Tag Manager, Shopify e Facebook Pixel são responsáveis por 8%, 5% e 4% das violações, respectivamente. Apesar de 81% dos líderes de segurança considerarem os ataques na web uma prioridade, apenas 39% implementaram soluções eficazes para mitigar esses riscos. A pesquisa também aponta uma lacuna de governança, onde equipes de marketing e digitais implantam aplicativos sem supervisão de TI, resultando em configurações inadequadas e acesso excessivo a dados sensíveis. O estudo sugere que a falta de ação, impulsionada por restrições orçamentárias e falta de pessoal, está tornando as organizações vulneráveis a ataques, especialmente em setores públicos que enfrentam desafios financeiros. A análise conclui que a gestão de exposição na web é crucial para proteger dados sensíveis e evitar brechas de segurança.

Nos últimos anos, a integração de assistentes de inteligência artificial (IA) em aplicações SaaS, como Zoom, Slack e Microsoft 365, trouxe uma nova dinâmica ao gerenciamento de dados e segurança. Esses assistentes, que operam em alta velocidade e com privilégios elevados, criam caminhos de integração dinâmicos entre diferentes sistemas, o que desafia os modelos tradicionais de segurança que assumem interfaces fixas e papéis de usuário estáveis. A dificuldade em rastrear as ações desses agentes de IA, que muitas vezes se misturam aos logs de usuários normais, expõe vulnerabilidades significativas. Para mitigar esses riscos, as equipes de segurança precisam adotar uma abordagem de segurança dinâmica, que monitore e adapte as políticas em tempo real, garantindo visibilidade e auditabilidade das ações dos assistentes de IA. Essa nova camada de segurança deve ser capaz de detectar desvios de acesso e comportamentos anômalos, permitindo uma resposta proativa a incidentes. À medida que as organizações adotam copilotos de IA, é crucial que os líderes de segurança reavaliem suas estratégias para garantir que a inovação não comprometa a segurança dos dados.

À medida que nos aproximamos do final de 2025, dois fatos sobre a inteligência artificial (IA) são cruciais para os diretores de segurança da informação (CISOs). Primeiro, a maioria dos funcionários já utiliza ferramentas de IA generativa em suas atividades, mesmo que a empresa não forneça acesso ou proíba seu uso. Segundo, muitos desses funcionários já compartilharam informações internas e confidenciais com essas ferramentas. Um estudo da Microsoft revela que 75% dos trabalhadores do conhecimento estavam usando IA generativa em 2024, e 78% deles utilizavam ferramentas pessoais. Isso gera um aumento no ‘Access-Trust Gap’, que é a diferença entre aplicativos de negócios confiáveis e aqueles não gerenciados que acessam dados corporativos. Para mitigar riscos, as empresas precisam desenvolver um plano de habilitação de IA que inclua governança e controle de acesso. O artigo propõe seis perguntas essenciais para guiar essa elaboração, como quais casos de uso de IA são prioritários e quais ferramentas devem ser adotadas. A falta de governança pode resultar em violações de políticas e consequências legais. Portanto, é fundamental que as empresas adotem uma abordagem proativa e contínua para a governança da IA, garantindo que os funcionários utilizem aplicativos confiáveis e monitorados.

O Fabric de Segurança de Identidade (ISF) é uma estrutura arquitetônica unificada que integra diversas capacidades de identidade, como governança, gerenciamento de acesso e detecção de ameaças. Com o aumento da complexidade dos ambientes de TI e a prevalência de ataques cibernéticos, a abordagem tradicional com ferramentas isoladas se torna insuficiente. O ISF se destaca por proteger todos os tipos de identidade, incluindo humanos, máquinas e agentes de IA, em ambientes on-premises, híbridos e multi-nuvem.

A Inteligência Artificial (IA) está revolucionando a Governança, Risco e Conformidade (GRC), trazendo mudanças significativas na forma como as equipes operam. As capacidades da IA incluem acelerar auditorias, identificar riscos críticos rapidamente e reduzir o trabalho manual, resultando em maior eficiência e precisão. No entanto, essa transformação também apresenta novos desafios, como viés potencial, lacunas regulatórias e pontos cegos perigosos, que ainda estão sendo abordados por órgãos reguladores. Para ajudar as organizações a se adaptarem a esse novo cenário, será realizado um webinar gratuito intitulado ‘O Futuro da IA no GRC: Oportunidades, Riscos e Insights Práticos’. O evento abordará exemplos reais de como a IA melhora fluxos de trabalho de conformidade, lições aprendidas e melhores práticas, além de estratégias para identificar e mitigar riscos comuns. A velocidade da inovação em IA é impressionante, e a lacuna entre a capacidade tecnológica e o arcabouço legal representa uma exposição imediata ao risco. O webinar reunirá especialistas e exemplos práticos, permitindo que as organizações se preparem proativamente para os desafios que a IA traz ao GRC.

A inteligência artificial (IA) tem um grande potencial para aprimorar a defesa cibernética, facilitando o trabalho dos profissionais de segurança. Ela pode ajudar a reduzir a fadiga de alertas, identificar padrões rapidamente e escalar operações de segurança de forma que os analistas humanos não conseguem. No entanto, a adoção de IA também amplia a superfície de ataque das organizações, exigindo governança clara, controles de identidade robustos e visibilidade nas decisões tomadas pela IA. Para garantir a segurança, é fundamental estabelecer confiança nos dados que a IA utiliza, responsabilidade pelas ações que executa e supervisão dos resultados que produz. O artigo destaca a importância de tratar sistemas de IA como identidades críticas dentro do gerenciamento de identidade e acesso (IAM), aplicando controles rigorosos como credenciais limitadas, autenticação forte e monitoramento contínuo. Além disso, sugere práticas recomendadas para proteger modelos de IA, incluindo controles de acesso, validação de dados e segurança na inferência. A integração responsável da IA nas operações de segurança pode permitir que as equipes trabalhem de maneira mais inteligente e eficaz, mas é essencial encontrar um equilíbrio entre automação e supervisão humana.

Um novo relatório da LayerX revela que a inteligência artificial (IA) se tornou o maior canal não controlado para a exfiltração de dados corporativos, superando ferramentas de SaaS não gerenciadas e compartilhamento de arquivos. Com 45% dos funcionários de empresas utilizando ferramentas de IA generativa, como ChatGPT, a falta de governança é alarmante, pois 67% do uso ocorre em contas pessoais não gerenciadas. O estudo aponta que 40% dos arquivos enviados para ferramentas de IA contêm dados sensíveis, e 77% dos funcionários colam informações nessas plataformas, com 82% dessas ações originando de contas não gerenciadas. A segurança tradicional, focada em uploads de arquivos, ignora esses vetores de vazamento. Além disso, 87% do uso de mensagens instantâneas ocorre em contas não gerenciadas, criando um cenário de risco elevado. O relatório recomenda que a segurança da IA seja tratada como uma categoria essencial, com estratégias de governança que incluam monitoramento de uploads e restrições a contas pessoais. Para os líderes de segurança, a urgência em adaptar as políticas de segurança é clara, pois a IA já está integrada aos fluxos de trabalho e representa um vetor principal para a perda de dados corporativos.

Um relatório do MIT revelou que 40% das organizações adquiriram assinaturas de LLMs empresariais, mas mais de 90% dos funcionários utilizam ferramentas de IA no dia a dia. A pesquisa da Harmonic Security indica que 45,4% das interações sensíveis com IA ocorrem em contas de e-mail pessoais, o que levanta preocupações sobre a chamada ‘Economia de IA Sombra’. Essa situação ocorre porque a adoção de IA é impulsionada pelos funcionários, e não por diretrizes corporativas. Muitas empresas tentam bloquear o acesso a plataformas de IA, mas essa estratégia falha, pois a IA está integrada em quase todos os aplicativos SaaS. Para mitigar riscos, as equipes de segurança precisam entender e governar o uso de IA, tanto em contas autorizadas quanto não autorizadas. A descoberta da IA Sombra é essencial para manter a conformidade regulatória e proteger dados sensíveis. A Harmonic Security oferece soluções para monitorar o uso de IA e aplicar políticas de governança adequadas, permitindo que as empresas se beneficiem da produtividade da IA, enquanto protegem suas informações.

O conceito de privacidade está evoluindo em um mundo onde a inteligência artificial (IA) agente se torna cada vez mais autônoma. Em vez de ser apenas uma questão de controle, a privacidade agora se baseia na confiança, especialmente quando essas IAs interagem com dados sensíveis e tomam decisões em nome dos usuários. A IA agente não apenas processa informações, mas também as interpreta, o que levanta preocupações sobre o que é inferido e compartilhado sem supervisão constante. Um exemplo prático é um assistente de saúde que, ao longo do tempo, pode começar a priorizar consultas e analisar o estado emocional do usuário, o que pode levar à perda de controle sobre a narrativa pessoal. Além disso, a privacidade não se resume mais ao triângulo clássico da CIA (Confidencialidade, Integridade e Disponibilidade), mas deve incluir autenticidade e veracidade. A falta de um conceito claro de privilégio entre IA e cliente pode resultar em consequências legais, onde informações pessoais podem ser acessadas por terceiros. Portanto, é essencial que as organizações desenvolvam sistemas de IA que respeitem a intenção por trás da privacidade e que sejam capazes de explicar suas ações. A necessidade de um novo contrato social que considere a agência da IA como uma categoria moral e legal é urgente, pois a privacidade se torna uma questão de reciprocidade e governança em um mundo onde humanos e máquinas interagem cada vez mais.