A forma como as empresas enfrentam ameaças digitais mudou, e não de forma gradual. O modelo em que cada organização se defendia sozinha, com suas próprias ferramentas e equipes, perdeu eficácia à medida que os ataques se tornaram mais rápidos e automatizados. O que ganhou força no lugar foi uma lógica de defesa coletiva: empresas, fornecedores e pesquisadores compartilhando informações sobre ameaças em tempo real, de forma que uma tentativa de ataque detectada por uma organização já chegue como alerta para todas as outras dentro da mesma rede de inteligência. Enquanto grupos criminosos operam de forma fragmentada e focada em lucro imediato, essa cooperação entre defensores permite respostas que nenhuma empresa conseguiria construir sozinha.
É nesse contexto que a inteligência artificial passou a ocupar um papel diferente do que tinha há dois ou três anos. Antes, ela ajudava analistas a processar grandes volumes de dados. Hoje, em operações de segurança mais avançadas, ela já toma decisões e executa ações de contenção sem esperar instrução humana. Isso significa que quando um comportamento suspeito é identificado, a ferramenta pode isolar um dispositivo, bloquear um acesso ou encerrar uma sessão em milissegundos, antes que qualquer analista tenha visto a notificação. Os centros de operações de segurança, conhecidos como SOCs, estão sendo redesenhados para incorporar esses sistemas como parte da equipe, não apenas como apoio.
Essa capacidade, no entanto, não é exclusiva de quem defende. Os grupos que conduzem ataques também estão usando IA para identificar brechas, escalar operações e automatizar tentativas de invasão. O resultado é um embate em que a velocidade da máquina dita o ritmo dos dois lados. Defender-se apenas com análise humana, nesse cenário, significa operar em desvantagem estrutural. O intervalo entre a detecção e a resposta manual simplesmente não é compatível com a velocidade em que ataques automatizados se movem dentro de uma rede.
Esse deslocamento trouxe à tona um problema que cresceu nas sombras: a quantidade de identidades digitais que operam dentro das empresas sem supervisão adequada. Quando falamos em identidades, não estamos falando apenas de funcionários com login e senha. Estamos falando de sistemas que se autenticam automaticamente, integrações entre plataformas, robôs de automação de processos, APIs que acessam dados sem que um humano precise intervir. Cada um desses elementos tem credenciais, permissões e acesso a informações. E a maioria das organizações não tem visibilidade clara sobre quantas dessas identidades existem, quais estão ativas e o que cada uma delas pode acessar. Quando uma dessas contas é comprometida, o invasor se move pela rede como se fosse um processo legítimo, sem disparar alertas convencionais.
Conectado a esse problema está o avanço do Shadow AI, termo usado para descrever o uso de ferramentas de inteligência artificial públicas por funcionários sem o conhecimento ou aprovação da área de segurança. Na prática, isso acontece quando um colaborador cola um trecho de contrato num modelo de linguagem externo para agilizar uma revisão, ou quando compartilha dados de clientes numa ferramenta de análise gratuita para montar uma apresentação mais rápido. A intenção é produtiva, mas o efeito é a saída de informações sensíveis para ambientes fora do controle da empresa. Para lidar com esse vetor, as ferramentas de Prevenção de Perda de Dados, conhecidas pela sigla DLP, precisaram evoluir. Não basta mais monitorar se um arquivo foi transferido. É necessário identificar e bloquear o conteúdo no momento em que ele é enviado como instrução para uma IA externa.
Essas mudanças forçaram também uma revisão do modelo zero trust, que nos últimos anos se tornou referência em segurança corporativa. O conceito original parte de uma premissa simples: nenhum usuário ou sistema deve ser considerado confiável automaticamente, mesmo que já esteja dentro da rede. Todo acesso precisa ser verificado. O que está sendo revisto agora é o escopo dessa verificação. Validar quem está acessando não é mais suficiente. É necessário controlar o que esse acesso permite fazer, por quanto tempo e com qual objetivo específico. Se um usuário ou sistema automatizado começa a realizar ações fora do padrão esperado, o acesso é encerrado imediatamente, sem depender de uma decisão humana.
O que esse conjunto de transformações indica é que proteger uma organização deixou de ser uma questão exclusivamente técnica para se tornar uma decisão de negócio. Tratar IA, gestão de identidades e proteção de dados como projetos futuros significa aceitar uma exposição real no presente. A continuidade das operações depende cada vez mais da capacidade de responder antes do dano, e não depois.
*Por Rafael Araújo Silva, diretor da Teltec Solutions.
