top of page
Buscar

Tel Aviv me deu um recado que parece simples sobre sobre segurança cibernética, mas...

Cibersegurança é cultura ou produto?


Estou no segundo dia da Cybertech Tel Aviv e não é empolgação com tecnologia, é literalmente um choque de realidade. Aqui ninguém fala de ciber como vitrine, falam como quem trata isso como parte da sobrevivência dos negócios, da economia, da segurança, das redes de saúde e tudo mais.


No Brasil, ainda é comum tratar segurança como aquisição. Compra, instala, apresenta para a diretoria, para o CFO que reclama da despesa, e segue. Até o dia em que não segue. Porque quando o ataque acontece, o que separa prejuízo controlável de um desastre é uma coisa só. Tempo. E confesso que tempo, nesse campo, é processo treinado, não é dashboard bonito.


A IA encurtou o tempo do mundo


O ponto mais honesto que ouvi hoje, em diferentes vozes, foi que a IA mudou a economia do ataque. Ela barateou a sofisticação e industrializou a personalização e com isso o atacante consegue testar mais variações, com mais contexto, em menos tempo. Ele erra muito, isso é uma grande verdade, mas ele só precisa acertar uma única vez.


E tem uma parte que pesa mais do que a técnica, pois ataques contra pessoas seguem sendo o terreno mais fértil. Phishing, golpes por voz, engenharia social e outros do tipo que conhecemos bem no Brasil. A IA deixa isso mais convincente, mais escalável, mais difícil de distinguir no calor do dia. O atacante não precisa invadir uma rede impecável, ele prefere convencer alguém a abrir a porta.


Do lado de dentro, cresce uma ilusão perigosa na camada de conselho e liderança onde a crença de que a empresa está pronta para adotar IA de forma rápida, fácil e segura é real. Não está. Outra crença é imaginar que IA diminui a necessidade de gente, mas de verdade para as áreas de segurança, não diminui. O que ela faz, quando bem aplicada, é reduzir ruído e acelerar triagem e com isso ela melhora o foco do time, mas não substitui responsabilidade.


Isso os profissionais de TI, CIO´s, CTO´s e CIA e outros irão responder certamente e aqui entra um detalhe que eu considero central. A vantagem do atacante também é organizacional, ele não tem comitê. Ele não tem burocracia interna e não tem medo de desligar nada porque nada é dele. Ele executa. Se a empresa não tiver governança inteligente, que controla sem paralisar, ela perde por lentidão interna nas respostas aos ataques que quando bem aplicado causam grandes estragos.


 O tripé que decide a crise, processo, mapeamento, treino


Eu vi um exemplo que traduz bem o que é usar IA do jeito certo sem virar religião nas demonstrações que acompanhei. Um caso real de gestão de vulnerabilidade em que a organização saiu de milhares de possibilidades para algumas centenas em poucas horas, e depois para um grupo pequeno que realmente precisava de ação. Isso não foi milagre. Foi inventário confiável, telemetria bem coletada, contexto do ambiente e IA usada para cortar desperdício e muito preparo humano.


Esse é o ponto que o Brasil ainda subestima. Sem mapeamento e aculturamento técnico que exige investimento, não existe velocidade. Quando a empresa não sabe o que tem, onde está, o que é crítico, e qual dependência derruba qual serviço, toda contenção vira tentativa e erro. E tentativa e erro, em incidente, é custo em tempo, e tempo vira dano.


Nos incidentes que acompanhei no Brasil, o tempo de resposta lento quase sempre tem as mesmas raízes.


Falta processo praticado. Existe documento, mas muitas vezes desatualizados e com tudo isso ainda não existe ensaio. E crise não aceita leitura, exige reflexo e assertividade.


Pensar no todo de forma sistêmica como eu acompanhei hoje, demonstra claramente a nossa doença crônica de falta mapeamento real. Inventário, criticidade, cadeia de dependências, visibilidade do que muda no ambiente. Sem isso, ninguém sabe por onde começar, e tudo vira improviso coordenado.


O impacto da falta de aculturamento é enorme. Treinamento constante, simulação, rotina, avaliação, repetição são essenciais. Segurança é como brigada, você não aprende no dia do incêndio.


A conversa sobre a vantagem do atacante colocou mais pressão nesse tripé. O mundo sempre contou com uma janela entre a divulgação de uma falha e a exploração em massa. Essa janela encolheu para horas e até minutos. Descoberta de ativos acelera, exploração acelera, ataque acelera. A cadência tradicional de correção, que em muitas empresas ainda depende de agenda, exceções e negociações internas, simplesmente não acompanha.


A tal vantagem do defensor existe, mas ela nasce do básico bem-feito. E a IA entra como alavanca, não como muleta ou já esquecemos os exemplos como alguns incidentes como o do fatídico dia 19 de julho de 2024 que teve o apagão cibernético global.


Esse adventos nos levam a repensar e recompor novos sistemas que precisam de um excelente tripé de apoio.


CISO, compliance e governança, o que separa discurso de prontidão


Nas conversas realizadas, o CISO aparece como liderança de decisão. Não como chefe de ferramenta. Ele precisa sustentar risco, continuidade, reputação, jurídico, cadeia de fornecedores, e ainda comandar no meio do incidente e para isso podemos dizer certamente que exige preparo.


No Brasil, eu ainda vejo muita empresa empurrando o CISO para a trincheira técnica e depois cobrando postura estratégica e pelo que percebi nos “cases” abordados isso não funciona. É incoerente e na crise, a incoerência cobra juros.


Com isso volto ao que eu já disse no outro artigo sobre a Cybertech. Falta conhecimento específico, com profundidade prática gera prejuízo. Ainda falta misturar isso com uma cultura viva de compliance.


Compliance não é burocracia para inglês ver. Compliance é disciplina coletiva, ele é rastreabilidade. É evidência. É clareza de papéis. É gestão de mudanças. É trilha de auditoria. É obrigação de reportar. Em segurança, isso vira capacidade de agir rápido sem virar caça às bruxas depois.


Esse ponto se conecta diretamente à IA. Proibir tudo por medo cria outro problema. Shadow AI. As pessoas seguem usando, só que fora do controle. Isso não é rebeldia, é sintoma de governança fraca. O caminho maduro é permitir com limites e com supervisão de verdade. Política aplicável, dados com integridade e procedência, critérios claros do que pode e do que não pode, e a possibilidade real de desligar funcionalidades quando elas não agregam ou quando aumentam risco.


E tem um detalhe técnico que quase ninguém discute com seriedade no Brasil. A nova superfície de ataque não é só o sistema antigo. É o sistema antigo somado a modelos, integrações, agentes e automações. É vazamento de contexto. É decisão automatizada sem trilha. É dado sensível indo para onde não deveria e no final do dia o que vemos é ataque que entra pela inteligência artificial porque ela foi colocada no fluxo sem governança. Já pensou nisso? Não duvide eu conheci “cases” impressionantes como aplicações desenvolvidas em IA na linha vibe coding e também LCNC e sendo usadas como porta para ataques em massa.


Por isso investimento e cooperação aqui não aparecem como luxo. Aparecem como infraestrutura elaborada. Rede de CISOs, precisa trocar de forma constante os aprendizados, conexão com academia, e dinheiro indo para escala, não só para protótipo. O recado é duro. Quem não coopera, repete erro e quem não investe em conhecimento, compra amuleto da sorte que não funciona e expõe o nível de profissionalismo.


Quando ouvi a perspectiva da Índia, isso ficou ainda mais evidente. Escala digital gigantesca, conectividade acelerada, e uma consciência clara de que conscientização pública não acompanha o ritmo da ameaça. Lá, cooperação entre governo, indústria e academia é tratada como necessidade estratégica e não como gentileza ou matéria de revista.


Computação quântica, a próxima ruptura que exige ação agora


Se a IA acelerou o ataque, a computação quântica vai mudar regras mais profundas do jogo.

Não é sobre um computador mais rápido para rodar relatório esperado da contabilidade atrapalhada. É sobre a possibilidade de quebrar, no futuro, uma parte importante da criptografia que sustenta internet, transações, identidade digital e sigilo. Atenção que existe um risco silencioso que deveria estar no radar de diretoria e de todos os envolvidos hoje, mesmo antes do quântico virar mainstream.


Coletar agora e abrir depois. O adversário captura tráfego e dados hoje, guarda, e espera o dia em que a tecnologia permita descriptografar. Para informações com vida longa, propriedade intelectual, contratos, dados de clientes, estratégia, isso é uma bomba relógio.


A preparação não é na base do pânico e sim no método.


Mapear onde a empresa usa criptografia e como usa. Criar agilidade criptográfica para trocar algoritmos sem paralisar o negócio. Construir um plano de migração para padrões pós quânticos e testar convivência híbrida por um período. E exigir o mesmo da cadeia de fornecedores, porque basta um elo fraco para derrubar o elo forte.


Isso é tecnologia, sim. Mas também é governança e compliance. Porque mexe com evidência, responsabilidade, continuidade, risco aceito e risco ignorado.


Volto ao começo desse texto. Tel Aviv me lembra o passado no melhor sentido. O básico bem-feito nunca saiu de moda por aqui e por isso que a resiliência em segurança é referência no mundo. O que está mudando é a velocidade da consequência e para isso eles estão cada vez mais prontos.


Agora pare e releia tudo isso e pense com seriedade sobre o tema e se a sua empresa quer sair do improviso, reduzir tempo de resposta, estruturar governança de IA em segurança, treinar times para atuar com velocidade, e alinhar isso com uma cultura real de compliance e preparação para o cenário pós quântico que está chegando.


Me chame e vamos marcar uma conversa. Reunião objetiva, diagnóstico direto, e um plano de ação que respeita a realidade do seu negócio para que você realmente entenda o desafio que está em sua frente.


Agora você pode responder... 


Cibersegurança é cultura ou produto?


Keine Alves

Líder educador, pesquisador e filósofo aplicado


 
 
 

Comentários

bottom of page