A cibersegurança deixou de ser um tema restrito ao time de tecnologia e alcançou os maiores escalões das organizações. Agora, conselhos de administração, comitês de auditoria e CFOs também querem falar sobre ataques, riscos e orçamento, levando o tema para o centro das estratégias.
- IA não vai substituir desenvolvedores, mas mudará o trabalho, diz CTO da Amazon
- AWS revela IA que caça bugs e falhas de segurança em apps ‘sem parar’
A avaliação vem de Danielle Ruderman, gerente sênior global de Worldwide Security Specialists na Amazon Web Services (AWS) e fundadora do programa CISO Circle, que reúne executivos da área de segurança em mais de 30 países, incluindo o Brasil.
Em entrevista ao Canaltech no AWS re:Invent 2025, a executiva destaca que a combinação de inteligência artificial generativa com a “democratização” das ferramentas de ataque mudou o jogo. Assim, empresas que antes não se viam como alvo agora sentem os impactos dos incidentes de segurança.
–
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
–
“Há um interesse muito maior em segurança, especialmente por parte do conselho de administração, dos comitês de auditoria e de outros líderes não ligados à segurança, que estão percebendo a necessidade de investir mais em segurança. Este tem sido um tema recorrente de conversa”, pontua.
Ruderman observa, ainda, que realizou um encontro com CISOs (Chief Information Security Officer) no Brasil em julho e questões envolvendo a comunicação com lideranças fora dos quadros técnicos se destacou durante os diálogos.
“Como conversar com o conselho de administração sobre segurança? Como apresentar métricas que os ajudem a tomar boas decisões?”, exemplificou. “Esta é uma oportunidade real para as equipes e líderes de segurança assumirem um papel de liderança maior nas organizações.”
O que tira o sono dos CISOs?
A AWS conduz pesquisas anuais com cerca de mil CISOs em todo o mundo para mapear suas maiores preocupações. O ranking atual tem um líder claro: inteligência artificial.
Neste caso, CISOs querem usar IA e agentes, mas estão pressionados para garantir que dados sensíveis não vazem, que modelos não sejam usados de forma indevida e que haja políticas claras para quem pode usar o quê, e como.
A detecção de ameaças e threat intelligence permanece em alta. Mesmo com novas ferramentas, a dificuldade é transformar grandes volumes de sinais em detecções acionáveis e integrar essa inteligência aos processos da empresa.
Em terceiro lugar, vem a relação com o conselho e a alta liderança. A gerente observa que a conversa deixou de ser apenas “compliance” e passou a envolver risco estratégico, continuidade de negócio e competitividade.
Em outras palavras: CISOs precisam explicar incidentes e investimentos em “linguagem financeira”.
A cultura de segurança é outro ponto em evidência. Neste caso, a visão de que “segurança é responsabilidade de todo mundo” saiu do discurso e virou necessidade prática, especialmente com golpes que exploram engenharia social, como deepfakes.
Por fim, vem o risco de terceiros e a cadeia de suprimento de software. Ataques via fornecedores, bibliotecas e integrações continuam crescendo, e exigem uma visão mais ampla do ecossistema de TI.
Inteligência Artificial
Dentro desse contexto, a IA aparece tanto como um problema quanto como um instrumento de defesa, com dois grandes temas aparentes nas conversas com CISOs.
O primeiro envolve a proteção do uso de inteligência artificial pelo negócio, no qual o time de segurança precisa responder as seguintes perguntas: quais dados podem ir para modelos? Como evitar vazamentos? Que guardrails aplicar? Qual modelo usar em cada cenário?
O segundo eixo aborda o uso da IA para para fortalecer a própria segurança. Neste sentido, a tecnologia pode acelerar análise de logs, automatizar tarefas repetitivas, fazer recomendações contextuais e até apoiar testes de invasão.
Deepfakes e a nova cara da engenharia social
Outro tópico recorrente entre CISOs é o avanço dos deepfakes de voz e vídeo, que alimentam golpes como o “CEO fraud”, quando um executivo é falsamente representado para autorizar transferências ou decisões críticas.
Diante deste cenário, a gerente sênior da AWS relembra da importância do treinamento de conscientização em segurança.
“Nossos clientes e CISOs nos dizem que estão vendo cada vez mais deepfakes de vídeo e voz. Portanto, levar esse treinamento aos usuários e a todos na empresa é fundamental”, afirma. “Sempre falamos que a segurança é responsabilidade de todos na organização e queremos que nossos clientes tenham essa mesma mentalidade.”
Para quem já fez o “dever de casa” em segurança básica, a IA é “apenas” mais uma etapa na evolução dos ataques. No entanto, ainda há questões fundamentais a serem tratadas.
Entre elas, o comprometimento de credenciais. “Hoje, os agentes maliciosos não estão invadindo, eles estão fazendo login”, resumiu Ruderman.
O excesso de privilégios e ausência ou mau uso da autenticação em múltiplas etapas e políticas de identidade são outros pontos de atenção.
Leia mais:
- IA com mais autonomia: o que são agentes de fronteira?
- AWS lança Nova 2 com modelos de IA para gerar imagens, agentes e automação
- Agentes de IA ganham memória ‘turbinada’ para te oferecer decisões melhores
Leia a matéria no Canaltech.
