Por Fábio Correa Xavier*
A inteligência artificial tornou-se o motor da produtividade atual, mas seu poder é de dupla face. Ao mesmo tempo em que amplia a capacidade defensiva, permitindo analisar volumes massivos de dados para identificar anomalias, também fortalece os atacantes, que passam a dispor de recursos para ampliar a escala, acelerar a execução e refinar a sofisticação de suas ofensivas. Hoje, campanhas de engenharia social atingem níveis de precisão linguística e contextual inéditos, e os deepfakes desafiam a própria noção de confiança. Os dados revelam a dimensão do desafio: em 2025, o custo médio global de uma violação de dados foi de US$ 4,4 milhões; no Brasil, R$ 7,19 milhões. Mais revelador ainda é que, mesmo com tantos avanços, cerca de 60% dos incidentes reportados continuam ligados ao fator humano.
Essas ameaças não sugerem, mas impõem a necessidade de revisão das práticas. A solução não está na corrida por tecnologias milagrosas nem na substituição completa dos fundamentos já consolidados. O caminho é fortalecê-los, agregando camadas de governança e disciplina. A ideia central é clara: segurança efetiva na era da IA depende da combinação de princípios clássicos de proteção, governança sólida e gestão operacional orientada por métricas. Sozinha, a tecnologia não sustenta a resiliência; esta nasce do equilíbrio entre esses três pilares.
O primeiro passo é revisitar e reforçar os fundamentos. Embora os ataques evoluam, as vulnerabilidades mais exploradas ainda estão em falhas humanas, processos deficientes e arquiteturas frágeis. A IA generativa potencializou a engenharia social, tornando e-mails de phishing extremamente realistas e difíceis de detectar. Nesse cenário, treinamentos constantes e simulações que permitam medir taxa de cliques e eficácia de reporte deixam de ser formalidades para se tornarem ferramentas essenciais de defesa.
No campo técnico, a arquitetura Zero Trust (“nunca confiar, sempre verificar”) deixa de ser diferencial e passa a ser requisito. Com a fragmentação do perímetro tradicional pela nuvem e pelo trabalho remoto, o modelo “castelo e fosso” perdeu utilidade. O Zero Trust traduz-se em microsegmentação, restrição de privilégios e autenticação multifator obrigatória — medidas que reduzem deslocamento lateral e combatem o uso indevido de credenciais, ainda um dos vetores mais comuns de intrusão.
O segundo eixo é a governança da IA. O uso não autorizado de modelos e plug-ins — fenômeno conhecido como Shadow AI — expande, de forma invisível, a superfície de ataque e pode expor dados sensíveis a terceiros. Aplicações baseadas em LLMs trazem riscos inéditos, como prompt injection e envenenamento de dados. Estruturas como a ISO/IEC 42001 e o NIST AI RMF oferecem diretrizes para estabelecer políticas claras, mapear riscos por caso de uso e manter sistemas auditáveis, equilibrando inovação e segurança.
O terceiro pilar é a disciplina operacional, sustentada por métricas objetivas. Em segurança, não se mede sucesso pela ausência de incidentes — algo irrealista —, mas pela rapidez e eficiência da resposta. Indicadores como MTTD e MTTR devem orientar as ações, transformando a gestão de incidentes de uma reação improvisada em um processo previsível e eficaz. Nesse sentido, a IA, bem governada, torna-se aliada na triagem de alertas e na execução de playbooks de resposta, reduzindo o tempo de contenção de dias para minutos. A disciplina também se traduz em testes regulares de restauração de backups imutáveis e simulações que envolvem toda a organização, não apenas o time técnico.
Esses três eixos podem se materializar em um plano prático, como um modelo 3×3 para 90 dias. Na primeira fase, estabelecer bases críticas: publicar política de uso de IA e implementar MFA universal. Na segunda, focar em prática e eficiência: realizar simulações de phishing e iniciar automações de baixo risco. Na terceira, consolidar a maturidade: aplicar perfis de risco do NIST AI RMF nos casos críticos e validar, por meio de testes completos, a capacidade de recuperação.
A cibersegurança deixou de ser apenas um desafio técnico para se firmar como questão de gestão, estratégia e cultura organizacional. Ferramentas poderosas existem, mas a verdadeira resiliência exige escolhas deliberadas, métricas para orientar decisões e disciplina para executar o básico com consistência. Segurança, na era da IA, é um exercício diário de método e de coragem para manter o essencial em primeiro plano.
*Fábio Correa Xavier é Diretor do Departamento de Tecnologia da Informação do Tribunal de Contas do Estado de São Paulo
