Em um momento em que ataques cibernéticos automatizados crescem impulsionados pela inteligência artificial generativa, o papel da IA na segurança digital se torna cada vez mais ambíguo, ao mesmo tempo ameaça e aliada. Nesta entrevista ao IT Section, Luiz Faro, diretor regional da Forcepoint, analisa como as empresas podem equilibrar inovação, conformidade e proteção de dados em um cenário global cada vez mais complexo. Ele também fala sobre o impacto da soberania digital, o papel do fator humano na defesa cibernética e os desafios de segurança em ambientes híbridos e multicloud.
IT Section: Nos últimos meses, temos visto um aumento expressivo de ataques automatizados impulsionados por IA generativa. Como a Forcepoint enxerga o papel da inteligência artificial, tanto como ameaça quanto como aliada, no cenário atual da cibersegurança?
Luiz Faro: Sem dúvida a IA é um componente fundamental no cenário de segurança, ameaça, ativo e aliado. A Forcepoint, como especialista global em proteção de dados, olha para a IA com esse foco: como ela interage com os dados mais preciosos da nossa organização.
Como ameaça, vemos a explosão dos casos de Shadow AI, serviços de IA não sancionados ou controlados pela área de segurança. Nesses casos, existe uma possibilidade real de dados altamente confidenciais e controlados serem expostos a IAs públicas, e portanto ao público, ou mesmo em IAs privadas o risco de vazamento entre departamentos com níveis de acesso a informação diferentes (pense nos dados de folha de pagamento acessível fora do HR).
Como ativo, vemos as IAs como um repositório de dados confidenciais de altíssimo volume e complexidade, e suas entradas e saídas devem ser classificadas e protegidas em tempo real, garantindo que a governança de dados cubra também esse ativo.
E, finalmente, como aliado a IA tem a capacidade de ajudar nas políticas e resposta a incidentes de segurança – sempre sob supervisão humana. Os resultados da IA nunca devem ser conclusivos sem interferência de um ser humano.
IT Section: A crescente tensão geopolítica tem levado países a repensarem sua soberania digital. Esse movimento impacta diretamente empresas globais que lidam com dados sensíveis. Como equilibrar conformidade regulatória, segurança e competitividade em um contexto tão fragmentado?
Luiz Faro: Isso não é novidade. Movimentos e marcos regulatórios como LGPD e GDPR buscaram estabelecer fronteiras e regras de trânsito claras para os tipos de dados mais relevantes. A conformidade regulatória não pode nem deve ser equilibrada: ela deve ser cumprida, como o preço para sentar a mesa dos negócios globais, e esse preço deve estar na balança das organizações que estão dispostas a fazê-lo. A segurança, se bem gerida, não conflita com a produtividade e a competitividade, e sim os apoiam, fazendo com que as vantagens competitivas perdurem através da proteção dos segredos industriais e dados confidenciais.
IT Section: Muitas organizações ainda tratam a cibersegurança como um custo e não como parte da estratégia de negócio. Que caminhos têm se mostrado mais eficazes para mudar essa mentalidade dentro das empresas?
Luiz Faro: Infelizmente o fator que mais colabora para que segurança seja vista como um investimento fundamental é um incidente sério, seja na empresa em questão ou nos seus pares. Nós, profissionais de cibersegurança, precisamos buscar a maturidade e a linguagem do negócio para quebrar essa barreira de forma menos dolorosa, mas infelizmente esse não é o caso na maioria das vezes.
IT Section: O avanço de modelos de trabalho híbridos e ambientes multicloud aumentou a superfície de ataque. Na prática, quais são os maiores pontos cegos que as empresas ainda não conseguiram resolver?
Luiz Faro: Não acredito ser um ponto cego, mas sem dúvida a superfície de ataque mais difícil de controlar é a camada 8, o usuário. Nossos usuários estão em um momento de puro encantamento com os milhares de serviços de IA que surgem todos os dias, e no ímpeto bem intencionado de aumentar sua produtividade, geram vulnerabilidades. Esse é um dos milhares de exemplos que podemos dar em que usuários bem intencionados geram riscos, e a eterna vigilância que precisamos para garantir que tais riscos sejam mitigados.
IT Section: A evolução das regulamentações, como a LGPD e as novas diretrizes de segurança cibernética do Banco Central, tem elevado o nível de exigência. Isso tem levado as empresas a repensarem seus investimentos ou apenas ajustarem processos já existentes?
Luiz Faro: Infelizmente a LGPD tornou-se um processo muito mais jurídico do que de segurança – a gestão de consentimento do usuário e de concessão de direitos, o que na prática não gera maior proteção dos dados do usuário, apenas reduz a exposição jurídica da empresa em caso de incidentes. Marcos regulatórios tem, sim, ajudado as áreas de segurança a emplacar projetos e inciativas até então postas na geladeira, mas o fato é que a regulação vem atrasada ao avanço tecnológico, então por mais que haja esse investimento, ele ocorre por vezes anos após o risco ser identificado pela área de segurança inicialmente.
IT Section: Há um consenso crescente de que o fator humano continua sendo o elo mais vulnerável. Mas, ao mesmo tempo, cresce o discurso de que o problema não é o usuário, e sim o design da segurança. Você concorda com essa visão?
Luiz Faro: Por um lado, não existe maneira de mudar o design do humano e, portanto, colocar a culpa nos usuários é uma saída simplista. Por outro, colocar a culpa na área de segurança também é uma simplificação injusta, no meio do caminho entre os dois existem os processos de negócio e as exigências de produtividade do usuário, que o obrigam a buscar maneiras de alcançar seus objetivos de negócio. Esses processos frequentemente são construídos sem levar segurança em seu design, então mais do que o “fator humano” ou o “design de segurança”, é o design dos processos de negócio concebidos com segurança.
IT Section: Como essa leitura do comportamento humano pode transformar a forma como as empresas pensam e praticam segurança digital hoje?
Luiz Faro: A noção de que todo usuário é uma vulnerabilidade é uma simplificação injusta. Os usuários podem expor vulnerabilidades, mas bem treinados os usuários são nossos melhores sensores. Altamente flexíveis e motivados em garantir o sucesso das organizações, devemos treiná-los e prover meios para que eles estejam prontos a ser nossos sensores para eventuais problemas de segurança. Os dados confidenciais, as joias da coroa das organizações, estão nas mão dos usuários todos os dias. Fazer deles nossos aliados, e não inimigos, fará com que a segurança seja mais eficiente e a experiência do usuário mais fluída.
