Como reimaginar suas proteções cibernéticas pode acelerar o valor da IA?

Ao compreender o novo ambiente operacional NAVI, os CISOs poderão identificar as causas e as tendências estruturais que ocasionam as mudanças e tomar decisões com melhor embasamento.

1. Não linear

Da mesma forma que o "vibe coding" com a IA possibilitou o desenvolvimento de códigos por não programadores, o "vibe hacking" tem o potencial de levar o crime cibernético para as massas. Os avanços mais recentes da IA representam um ponto de inflexão para o crime cibernético, aumentando o número de agentes de ameaças viáveis e o número de vítimas que podem ser visadas simultaneamente.

Em agosto de 2025, a Anthropic revelou que um criminoso cibernético usou seu assistente de codificação de IA, o Claude Code, para realizar uma operação de extorsão de dados contra 17 organizações em vários países, inclusive uma empresa de defesa, prestadores de serviços de saúde e uma instituição financeira. Em cada etapa do ataque, o criminoso cibernético usou o Claude Code para consultar e operar, viabilizando o reconhecimento, a exploração, o movimento lateral e a exfiltração de dados.

"A IA reduz o nível de conhecimento necessário para que os criminosos cibernéticos realizem ataques sofisticados", diz Rick Hemsley, Líder de Segurança Cibernética da EY UK&I. "As habilidades necessárias para um ataque cibernético que costumavam levar tempo e experiência para serem desenvolvidas estão agora, como nunca visto, mais acessíveis, e de graça, para um número maior de criminosos cibernéticos."

O número cada vez maior de agentes viáveis representa um desafio não apenas para as organizações, mas também para os órgãos reguladores. Antes, as agências reguladoras e governamentais podiam concentrar seus esforços em grupos conhecidos de hackers ou em ameaças persistentes avançadas, mas agora a IA pode descentralizar ainda mais o cenário de ameaças, armando rapidamente novos grupos em novas regiões geográficas ou disponibilizando a "lobos solitários" habilidades que antes somente vários agentes trabalhando em grupo tinham.

Os criminosos cibernéticos também estão usando a IA para atingir mais vítimas de uma só vez. As técnicas de engenharia social, como phishing, voice phishing (vishing) e deepfake vishing, são mais eficazes quando são mais convincentes. No passado, criar uma isca convincente para uma vítima consumia tempo. Agora, os criminosos cibernéticos podem lançar campanhas personalizadas de golpes com phishing e vishing para várias vítimas ao mesmo tempo usando ferramentas de IA generativa. A CrowdStrike detectou um aumento de 442% nos ataques de vishing no segundo semestre de 2024, uma tendência que deve continuar em 2025.²
 

As futuras descobertas da computação quântica podem representar pontos de inflexão que desencadeiam mudanças não lineares na segurança cibernética. A computação quântica poderia acelerar os ataques cibernéticos ao decifrar instantaneamente os algoritmos de criptografia amplamente usados, tornando obsoletos os métodos atuais de proteção de dados.

2. Acelerado

O tempo médio de exploração dos crimes eletrônicos - o tempo necessário para que um invasor comece a se mover lateralmente pela rede de uma vítima - foi de 48 minutos em 2024, abaixo dos 62 minutos registrados em 2023 e dos 79 minutos em 2022, de acordo com a CrowdStrike.

A aceleração do tempo de exploração é perigosa. Quando os invasores se estabelecem em uma rede, eles podem obter um controle mais extensivo e são mais difíceis de extrair. Em um ataque cibernético ocorrido em setembro de 2025 que cancelou e atrasou voos por dias em toda a Europa, o fornecedor de software que sofreu o ataque reconstruiu e relançou seus sistemas apenas para perceber que os hackers ainda estavam dentro do sistema.

Além do tempo de exploração, outros aspectos do cenário da segurança cibernética estão se acelerando. O mercado de software como serviço (SaaS) cresceu muito nos últimos anos. A receita mundial de aplicativos corporativos atingirá US$ 385,2 bilhões em 2026, conforme estimativa da IDC — um aumento de quase 40% em relação a 2022, sendo a maior parte desse crescimento atribuída a investimentos em software de nuvem pública. A criação de aplicativos na nuvem ajudou os clientes dos fornecedores de SaaS a aumentar a eficiência e a inovação, expandir-se rapidamente e melhorar o atendimento ao cliente. No entanto, o lançamento acelerado de produtos e recursos para acompanhar o ritmo da concorrência acirrada pode ocorrer em detrimento da segurança. Os ataques cibernéticos a fornecedores de SaaS de menor porte e em rápido processo de expansão geralmente afetam seus clientes, devido ao compartilhamento de dados e à estreita integração tecnológica.

Da mesma forma, as organizações estão acelerando as iniciativas internas de IA. Ao fazer isso, os líderes reconhecem que a velocidade vem acompanhada de riscos: apenas 14% dos CEOs acreditam que a proteção dos dados de IA é considerável em suas organizações, de acordo com a última pesquisa EY Responsible AI Pulse. 

"Ao acelerarem a adoção da IA e da tecnologia, as empresas devem considerar as implicações de segurança cibernética desde o início", diz Ayan Roy, Líder de Segurança Cibernética da EY Americas. "Se bem feita, a segurança cibernética não deve retardar a adoção, mas incentivar uma inovação mais segura e mais rápida em toda a empresa."

3. Volátil

O aumento da volatilidade geopolítica e regulatória está afetando a segurança cibernética. Quase 60% das organizações disseram que as tensões geopolíticas afetaram sua estratégia de segurança cibernética em 2025, de acordo com o Fórum Econômico Mundial. 3 Isso não é surpresa — nos últimos anos, a maior volatilidade geopolítica teve muitos efeitos indiretos na esfera cibernética, tanto para empresas como para governos.

Os líderes não esperam que essa volatilidade diminua em um futuro próximo. Mais da metade (57%) espera que a incerteza geopolítica e econômica dure mais de um ano, com quase um quarto (24%) prevendo mais de três anos, de acordo com a pesquisa realizada pela EY-Parthenon em setembro de 2025 sobre as perspectivas dos CEOs.

A infraestrutura crítica — serviços públicos, transporte, comunicações e energia — pode ser afetada pela volatilidade geopolítica quando for alvo de ataques cibernéticos promovidos pelo Estado. Esses ataques aumentam as tensões, mas não costumam levar a uma guerra convencional, o que os torna um método popular para pressionar um inimigo sem declarar guerra. Para as empresas, a interrupção da infraestrutura crítica pode levar à paralisação de fábricas, disrupções na cadeia de suprimentos e no transporte, danos a ativos físicos e muito mais.

Essas infraestruturas públicas também podem ser vítimas indiretas de ataques cibernéticos quando um terceirizado for o alvo. Os criminosos cibernéticos podem ser incentivados a visar empresas que dão suporte a partes importantes da infraestrutura, como aeroportos ou sistemas ferroviários, a fim de criar pressão pública para uma solução rápida, como o pagamento de resgate.

A volatilidade regulatória também afeta a segurança cibernética das organizações. "A política está se realinhando e se tornando mais polarizada, aumentando a probabilidade de oscilações significativas de uma eleição para outra", diz Catherine Friday, Líder Global do Setor de Governo e Infraestrutura da EY 

Quando se trata de regulamentação, o espaço cibernético não tem fronteiras. Portanto, para as multinacionais, o quadro é especialmente complexo. Esse assunto está no centro das atenções atualmente, com a regulamentação da IA, que está em diferentes estágios em diferentes partes do mundo, resultando em uma colcha de retalhos de políticas a serem cumpridas.

"As empresas multinacionais enfrentam regulamentações complexas de segurança cibernética, IA, dados e outras tecnologias de várias jurisdições", diz Piotr Ciepiela, Líder Global de Governo e Infraestrutura Cibernética da EY. "As empresas mais inteligentes incorporam a conformidade em sua tecnologia, para que possam responder à volatilidade regulatória com ajustes, e não com revisões."

4. Interconectado

As organizações prosperam quando formam parcerias sólidas com os fornecedores. O crime cibernético prospera em grandes superfícies de ataque, como as formadas por um ecossistema interconectado de terceiros com níveis variados de maturidade em termos de segurança cibernética.

Ao criarem áreas internas de IA, a maioria das organizações depende de terceiros no que se refere a grandes modelos de linguagem (LLMs), já que a criação de LLMs do zero é cara e requer recursos de computação substanciais.

Essa abordagem híbrida ao desenvolvimento da IA — desenvolvimento rápido de ferramentas internas usando recursos externos — não é diferente do desenvolvimento de outras tecnologias internas. Mas a contrapartida é o aumento do risco de segurança cibernética. De acordo com a Pesquisa Global de Gestão de Risco de Terceiros realizada pela EY em 2025, os programas de TPRM verificam o risco de segurança cibernética com mais frequência do que qualquer outro risco.

A complexidade organizacional também está aumentando. "Em um mundo em que as organizações estão se tornando mais complexas e interconectadas, em um cenário cibernético em constante mudança, os riscos para os CISOs são maiores. Eles precisam não só garantir que as iniciativas de IA em toda a empresa sejam seguras, mas também proteger seu ecossistema em colaboração com terceiros", diz Rudrani Djwalapersad, Líder Global de Risco Cibernético e Resiliência Cibernética da EY.

Somente na área de segurança cibernética, as organizações usam uma média de 47 ferramentas, de acordo com a pesquisa da EY. Em um nível ainda mais granular, os colaboradores reconhecem os riscos em suas experiências com a IA: a pesquisa da EY (via ey.com EUA) constatou que 39% não estão confiantes em usar a IA de forma responsável.

Quase todas as áreas de negócios defendem seu envolvimento nas iniciativas de IA "desde o início", e por um bom motivo. Para a área de segurança cibernética, "deslocar para a esquerda" — realizar testes de segurança no início do ciclo de vida do desenvolvimento de software — é um mantra convincente e uma política eficaz para proteger a nova tecnologia. No entanto, para os tecnólogos que querem "avançar rapidamente e quebrar coisas" e para os líderes que querem vencer a concorrência no mercado, isso pode parecer complicado.

O simples deslocamento para a esquerda também não é uma estratégia eficaz para minimizar os riscos de segurança cibernética no mundo NAVI. Ciclos de desenvolvimento de tecnologia mais curtos e criminosos cibernéticos altamente adaptáveis exigem uma abordagem mais resiliente à segurança cibernética.

É mais eficaz concentrar-se em um conjunto de "barreiras de proteção" claras de segurança cibernética que ajudem a aumentar a velocidade e a segurança da adoção da IA. As barreiras de proteção são uma forma mais clara e adaptável de incorporar a segurança às iniciativas de IA — uma forma que se integra aos sistemas existentes, acelera a adoção e dá aos stakeholders a confiança de que os principais riscos são gerenciados desde o início. As barreiras de proteção são também mais compatíveis com as iniciativas de uso responsável de IA. Ambos os programas têm como objetivo criar confiança e gerenciar riscos, e sua integração fortalece cada um, ampliando a visibilidade e o suporte em toda a empresa.

As barreiras de segurança cibernética ajudam os principais CISOs a se integrarem melhor às principais decisões estratégicas desde o início. E a integração antecipada leva a uma maior criação de valor a partir da área de segurança cibernética, como constatou o nosso Estudo Global de Insights sobre Liderança em Cibersegurança de 2025.

As cinco barreiras de segurança a seguir estão sendo usadas pelos principais CISOs para criar valor em suas organizações e reduzir os riscos de segurança cibernética no mundo NAVI:

1. Proteção contra o fator de risco humano

Os principais CISOs estão minimizando os fatores de risco humano por meio da proteção da interface humano-IA e da redução de oportunidades de exploração dos colaboradores como o elo mais fraco. "A tecnologia por si só não consegue proteger uma organização. As empresas que investem na redução do risco humano por meio da conscientização, cultura e prestação de contas serão muito mais resilientes às ameaças cibernéticas modernas do que as que dependem apenas de ferramentas", diz Bill Fryberger, Líder de Consultoria em Segurança Cibernética da EY Americas.

As organizações estão implementando controles mais rígidos de identidade e acesso, modernizando os programas de ameaças internas e implementando treinamentos personalizados baseados em riscos para conscientizar seus colaboradores, a fim de reduzir o erro humano, impedir campanhas de engenharia social e evitar configurações incorretas que possam resultar em violações.

Risco mitigado:

• Erro humano: A exploração de erros humanos pode aumentar quando os colaboradores experimentam livremente com as ferramentas de IA em suas tarefas diárias. De acordo com a pesquisa EY Responsible AI Pulse de outubro de 2025, 68% das organizações permitem "desenvolvedores cidadãos" (colaboradores que desenvolvem ou implantam agentes de IA de forma independente). No entanto, apenas seis em cada 10 fornecem orientação formal aos colaboradores.
• Campanhas direcionadas de vishing, phishing e engenharia social com IA: um método eficaz para obter acesso não autorizado em um ataque cibernético, essas campanhas estão em alta — os e-mails de phishing gerados por IA aumentaram 67% em 2025^.4
• Configurações incorretas não intencionais que causam violações de dados.

2. Proteção dos dados usados nas iniciativas de IA

Os dados são a base de qualquer sistema de IA, portanto, os principais CISOs estão trabalhando para proteger todos os tipos, sejam eles dados inseridos pelo usuário para adaptar os resultados aos contextos organizacionais, dados de treinamento e ajuste fino para criar modelos base ou dados rotulados para validar os resultados do modelo. Seu foco é proteger a confidencialidade, a integridade e a disponibilidade dos dados, implantando defesas contra o envenenamento de dados e a injeção de prompt, reforçando os controles sobre dados sensíveis e de terceiros e aplicando criptografia forte para reduzir a exposição de informações confidenciais e garantir que os sistemas de IA sejam treinados em fontes confiáveis.

Riscos mitigados:

• Envenenamento de dados: O envenenamento de dados pode reduzir a precisão do modelo em até 27% no reconhecimento de imagens e 22% na detecção de fraudes, o que faz dessa questão uma alta prioridade para os CISOs.⁵
• Uso de dados confidenciais e sensíveis ou de Informações Pessoais Identificáveis (PII) para treinar sistemas e agentes de IA: consulte o estudo de caso abaixo para saber como o Microsoft 365 Copilot mantém padrões rígidos de dados.
• Vazamento de dados de resultados de IA: a IA pode revelar informações confidenciais por acidente ou propositalmente. Por exemplo, em um recente desafio de injeção de prompt, 88% dos participantes conseguiram enganar a IA generativa para que ela fornecesse informações confidenciais.⁶

3. Reengenharia da detecção e resposta a ameaças de IA

Os CISOs estão reformulando a detecção e a resposta a ameaças de IA, unificando a visibilidade e a defesa em toda a superfície de ataque da IA. Atualmente, três quartos das organizações estão automatizando seus processos de detecção de segurança cibernética, de acordo com a pesquisa da EY. Eles estão aplicando o monitoramento por IA, resposta automatizada e inteligência aperfeiçoada contra ameaças para bloquear injeções de prompt, higienizar resultados, redigir dados confidenciais, atenuar tentativas de negação de serviço e conter agentes com muitos privilégios. Essa abordagem integrada ajuda as organizações a detectar, responder e se adaptar rapidamente a atividades maliciosas que visam os sistemas de IA e suas cadeias de suprimentos.

Riscos mitigados:

• Ataques cibernéticos a sistemas de IA e cadeias de suprimento de IA: os CISOs estão cada vez mais cientes do maior risco de segurança cibernética com sistemas de IA. Por exemplo, 76% das organizações que usam IA em suas auditorias percebem um risco cibernético maior.⁸
• Agenciamento excessivo ou resultados inadequados dos agentes de IA
  

4. Mitigação das ameaças à cadeia de suprimentos da IA

A natureza interconectada do desenvolvimento da IA exige que as organizações criem uma sólida gestão de risco de terceiros e visibilidade da superfície de ataque. Os CISOs estão mitigando as ameaças à cadeia de suprimentos da IA com transparência, visibilidade e padrões mínimos de segurança em fornecedores terceirizados e componentes de IA. Eles estão reforçando a gestão de ativos, aplicando rigorosos controles de risco de terceiros e usando a verificação criptográfica de modelos para reduzir dependências ocultas e vulnerabilidades introduzidas por software de IA externo.

Riscos mitigados:

• Complexidade, dependências ocultas e vulnerabilidades adicionais: A ameaça é real — 61% das empresas passaram por violação de terceiros no ano passado.¹⁰

5. Fortalecimento dos sistemas de IA

As organizações e seus CISOs estão se empenhando para fortalecer os sistemas de IA, incorporando a segurança em todo o ciclo de vida do desenvolvimento e implantação, desde o projeto até a entrada em operação. Eles reconhecem a importância dessa etapa: 83% dos líderes dizem que a adoção da IA seria mais rápida se eles tivessem uma infraestrutura de dados mais forte, de acordo com a pesquisa da EY (via ey.com EUA). "Integrar os controles de segurança corretos na implantação da IA e fortalecer os sistemas de IA ajuda a equipe de segurança cibernética a definir o tom para toda a organização, estabelecendo-se como um modelo para a implementação da IA responsável", diz Dan Mellen, Diretor Global de Tecnologia Cibernética da EY.

Como resultado, as organizações estão integrando a codificação segura e a governança de modelos às operações de aprendizagem de máquina (MLOps), aplicando testes adversários e testes de "equipe vermelha" (red teaming) e reforçando padrões sólidos de configuração, segmentação e gerenciamento de vulnerabilidades. Essa abordagem reduz os erros e as configurações incorretas, protege contra os pontos fracos da infraestrutura e ajuda a garantir que os modelos e agentes de IA sejam implantados em bases resilientes.

Riscos mitigados:

• Erros, configurações incorretas e códigos vulneráveis decorrentes do desenvolvimento acelerado e da falta de expertise: as configurações incorretas de nuvem e IA são excepcionalmente comuns, com 98,6% das organizações afirmando que sofrem com configurações incorretas críticas de nuvem.
• Vulnerabilidades de infraestrutura subjacentes: uma infraestrutura fraca é um risco e um obstáculo para a implementação da IA — de acordo com a pesquisa da EY (via ey.com EUA), 67% dos líderes dizem que infraestruturas inadequadas estão de fato atrasando seus esforços de IA.

Consideradas em conjunto, essas proteções de segurança cibernética ajudarão os CISOs a proteger a implementação da IA em toda a empresa e a gerar mais valor com a área de segurança cibernética. Ao concentrar os investimentos de proteção em áreas que claramente geram valor, os CISOs podem promover sua área dentro da organização e aprimorar rapidamente os recursos de segurança cibernética para acompanhar o ritmo do mundo NAVI.

AnnMarie Pino, Diretora Associada, Ernst & Young LLP; William Reid, Diretor Assistente, Ernst & Young LLP; e Joe Morecroft, Diretor Associado, EYGS LLP, contribuíram para este artigo.