Como é que reimaginar as suas proteções cibernéticas pode acelerar o valor da IA?

Ao compreenderem o novo ambiente operacional NAVI, os CISOs poderão identificar as causas profundas e as tendências estruturais que impulsionam a mudança e tomar decisões mais bem informadas.

1. Não linear

Da mesma forma que o "vibe coding" com IA tornou possível a escrita de código para não codificadores, o "vibe hacking" tem o potencial de levar o cibercrime às massas. Os últimos avanços da IA representam um ponto de viragem para a cibercriminalidade, aumentando tanto o número de agentes de ameaças viáveis como o número de vítimas que podem ser visadas simultaneamente.

Em agosto de 2025, a Anthropic revelou que um cibercriminoso utilizou o seu assistente de codificação de IA, Claude Code, para levar a cabo uma operação de extorsão de dados contra 17 organizações em vários países, incluindo um empreiteiro de defesa, prestadores de cuidados de saúde e uma instituição financeira. Em cada etapa do ataque, o cibercriminoso usou o Claude Code para consultar e operar, apoiando a reconhecimento, exploração, movimentação lateral e exfiltração de dados.

"A IA reduz a fasquia necessária para os cibercriminosos efetuarem ataques sofisticados", afirmou Rick Hemsley, Líder de Cibersegurança da EY UK&I. "As competências de ciberataque que costumavam levar tempo e experiência a desenvolver estão agora mais facilmente acessíveis, de forma gratuita, a um maior número de cibercriminosos do que nunca."

O número crescente de atores viáveis representa um desafio não só para as organizações, mas também para os seus reguladores. Enquanto antes os reguladores e as agências governamentais podiam concentrar alguns esforços em grupos conhecidos de hackers ou ameaças avançadas e persistentes, a IA pode descentralizar ainda mais o panorama de ameaças, armando rapidamente novos grupos em novas geografias ou fornecendo a atores isolados as competências que antes eram detidas por múltiplos atores a trabalhar em grupo.

Os cibercriminosos também estão a usar IA para atacar mais vítimas de uma vez. Técnicas de engenharia social, como phishing, vishing (phishing por voz) e deepfake vishing, são mais eficazes quando são mais convincentes. No passado, demorava algum tempo a criar uma isca convincente para uma vítima. Agora, os cibercriminosos podem lançar campanhas de phishing e vishing personalizadas para várias vítimas ao mesmo tempo, utilizando ferramentas de IA generativa. A CrowdStrike detetou um aumento de 442% nas intrusões de vishing na segunda metade de 2024, uma tendência que se espera que continue até 2025.²

As futuras descobertas da computação quântica poderão representar pontos de viragem que desencadearão mudanças não lineares na cibersegurança. A Quantum poderá acelerar rapidamente os ciberataques ao quebrar instantaneamente os algoritmos de encriptação amplamente utilizados, tornando obsoletos os atuais métodos de proteção de dados.

2. Acelerado

O tempo médio de fuga do crime eletrónico - o tempo necessário para que um atacante comece a movimentar-se lateralmente na rede de uma vítima - foi de 48 minutos em 2024, contra 62 minutos em 2023 e 79 minutos em 2022, de acordo com a CrowdStrike.

A aceleração dos tempos de fuga é perigosa. Quando os atacantes se estabelecem numa rede, podem obter um controlo mais profundo e são mais difíceis de extrair. Num ciberataque de setembro de 2025 que cancelou e atrasou voos durante dias em toda a Europa, um fornecedor de software comprometido reconstruiu os seus sistemas e relançou-os, apenas para se aperceber de que os piratas informáticos ainda estavam dentro do sistema.

Para além dos tempos de fuga, outros aspectos do panorama da cibersegurança estão a acelerar. O mercado de software como serviço (SaaS) cresceu muito nos últimos anos. As receitas mundiais das aplicações empresariais atingirão 385,2 mil milhões de dólares em 2026, segundo as estimativas da IDC - um aumento de quase 40% em relação a 2022, sendo a maior parte deste crescimento atribuído a investimentos em software de nuvem pública. A criação de aplicações na nuvem tem ajudado os clientes dos fornecedores de SaaS a impulsionar a inovação e a eficiência, a expandir-se rapidamente e a servir melhor os clientes. Mas o lançamento acelerado de produtos e funcionalidades para acompanhar o ritmo da concorrência feroz pode ser feito à custa da segurança. Os ciberataques a fornecedores de SaaS mais pequenos e em rápida evolução afectam frequentemente os seus clientes, devido à partilha de dados e à estreita integração tecnológica.

Do mesmo modo, as organizações estão a acelerar as iniciativas internas de IA. Ao fazê-lo, os líderes reconhecem que a velocidade vem acompanhada de riscos: apenas 14% dos CEOs acreditam que a proteção de dados de IA está fortemente salvaguardada nas suas organizações, de acordo com um recente inquérito EY Responsible AI Pulse. 

"À medida que as empresas aceleram a adoção da IA e da tecnologia, devem considerar as implicações da cibersegurança desde o início", disse Ayan Roy, EY Americas Cybersecurity Leader. "Se for bem feita, a cibersegurança não deve atrasar a adoção, mas sim incentivar uma inovação mais segura e mais rápida em toda a empresa."

3. Volátil

O aumento da volatilidade geopolítica e regulamentar está a ter impacto na cibersegurança. Quase 60% das organizações afirmaram que as tensões geopolíticas afetaram a sua estratégia de cibersegurança em 2025, de acordo com o Fórum Económico Mundial^. 3 Este facto não é surpreendente - os últimos anos de maior volatilidade geopolítica tiveram muitas repercussões na ciberesfera, tanto para as empresas como para os governos.

Os líderes não esperam que esta volatilidade diminua num futuro próximo. Mais de metade (57%) espera que a incerteza geopolítica e económica dure mais de um ano, com quase um quarto (24%) a prever mais de três anos, de acordo com o Inquérito de setembro de 2025 sobre as Perspectivas dos CEO da EY-Parthenon.

As infra-estruturas críticas - para serviços públicos, transportes, comunicações e energia - podem ser afetadas pela volatilidade geopolítica quando são alvo de ciberataques patrocinados por Estados. Estes ataques aumentam as tensões, mas não conduzem normalmente a uma guerra convencional, o que os torna um método popular para pressionar um inimigo sem declarar guerra. Para as empresas, as interrupções de infra-estruturas críticas podem levar à paralisação das fábricas, a interrupções na cadeia de fornecimento e nos transportes, a danos nos ativos físicos e muito mais.

Estes mesmos elementos da infraestrutura pública podem também ser vítimas de segunda ordem de ciberataques quando o alvo é um fornecedor terceiro. Os cibercriminosos podem ser incentivados a visar empresas que suportam infra-estruturas de grande visibilidade - como aeroportos ou sistemas ferroviários - para criar pressão pública para uma solução rápida que pode vir de um pagamento de resgate.

A volatilidade da regulamentação também tem impacto na cibersegurança das organizações. "A política está a realinhar-se e a polarizar-se cada vez mais, aumentando a probabilidade de mudanças significativas na política de uma eleição para a outra", afirmou Catherine Friday, Líder do Setor das Infra-estruturas do Governo Global da EY &. 

No que diz respeito à regulamentação, o ciberespaço não tem fronteiras. Assim, para as empresas multinacionais, o quadro é particularmente complexo. Esta questão está atualmente em foco com a regulamentação da IA, que se encontra em diferentes fases em diferentes partes do mundo, resultando numa manta de retalhos em constante mudança de políticas a cumprir.

"As empresas multinacionais enfrentam regulamentações complexas de segurança cibernética, IA, dados e outras tecnologias de várias jurisdições", disse Piotr Ciepiela, Líder Global de Cibersegurança Governamental e de Infraestrutura da EY. "As empresas mais inteligentes integram a conformidade na sua tecnologia, para que possam responder à volatilidade regulamentar com ajustamentos e não com revisões."

4. Interligado

As organizações prosperam quando estabelecem parcerias fortes com os fornecedores. O cibercrime prospera em grandes superfícies de ataque, como as formadas por um ecossistema interligado de terceiros com diferentes níveis de maturidade de cibersegurança.

À medida que as organizações constroem funções internas de IA, a maioria recorre a terceiros para modelos de linguagem de grande escala (LLMs), uma vez que construir LLMs do zero é dispendioso e requer recursos computacionais massivos.

Esta abordagem híbrida ao desenvolvimento da IA - desenvolvimento rápido de ferramentas internas utilizando recursos externos - não é diferente da forma como são desenvolvidas outras tecnologias internas. Mas a contrapartida é o aumento do risco de cibersegurança. De acordo com o 2025 Inquérito Global da EY sobre Gestão de Riscos de Terceirosos programas de TPRM analisam o risco de cibersegurança com mais frequência do que qualquer outro risco.

A complexidade organizacional também está a aumentar. "Num mundo em que as organizações estão a tornar-se mais complexas e interligadas, num cenário cibernético em constante mudança, os riscos para os CISOs são maiores. Eles não só precisam de garantir que as iniciativas de IA de toda a empresa são seguras, como também precisam de proteger o seu ecossistema em colaboração com terceiros", disse Rudrani Djwalapersad, EY Global Cyber Risk and Cyber Resilience Lead.

Só na função de cibersegurança, as organizações utilizam uma média de 47 ferramentas, de acordo com a pesquisa da EY. A um nível ainda mais granular, os funcionários reconhecem os riscos na sua experimentação de IA: A investigação da EY (via ey.com US) descobriu que 39% deles não estão confiantes em utilizar a IA de forma responsável.

Quase todas as funções empresariais defendem o seu envolvimento "desde o início" nas iniciativas de IA, e tudo por boas razões. Para a função de cibersegurança, "mudar para a esquerda" - efetuar testes de segurança mais cedo no ciclo de vida de desenvolvimento de software - é um mantra convincente e uma política eficaz para proteger a nova tecnologia. Mas para os tecnólogos que querem "andar depressa e partir coisas" e para os líderes empresariais que querem vencer a concorrência no mercado, pode parecer complicado.

Mudar simplesmente para a esquerda também não é uma estratégia eficaz para minimizar os riscos de cibersegurança no mundo NAVI. Ciclos de desenvolvimento tecnológico mais curtos e cibercriminosos altamente adaptáveis exigem uma abordagem mais resiliente à cibersegurança.

É mais eficaz centrar-se num conjunto de "barreiras" claras de cibersegurança que ajudem a aumentar a velocidade e a segurança da adoção da IA. Os Guardrails são uma forma mais clara e adaptável de incorporar a segurança nas iniciativas de IA - uma forma que se integra nos sistemas existentes, acelera a adoção e dá às partes interessadas a confiança de que os principais riscos estão a ser geridos desde o primeiro dia. As barreiras de proteção são também mais compatíveis com iniciativas de IA responsáveis. Ambos os programas têm como objetivo criar confiança e gerir riscos, e a sua integração reforça cada um deles, ao mesmo tempo que amplia a visibilidade e o apoio em toda a empresa.

As barreiras de segurança cibernética ajudam os principais CISO a integrarem-se melhor nas principais decisões estratégicas, mais cedo. E a integração precoce leva a uma maior criação de valor a partir da função de cibersegurança, como constatou o nosso estudo 2025 EY Global Cybersecurity Leadership Insights Study.

Aqui estão cinco guardrails que os principais CISOs estão a utilizar para criar valor nas suas organizações e mitigar os riscos de cibersegurança no mundo NAVI:

1. Salvaguardar o fator de risco humano

Os principais CISOs estão a minimizar os factores de risco humanos protegendo a interface homem-IA e reduzindo as oportunidades para os funcionários serem explorados como o elo mais fraco. "A tecnologia por si só não pode proteger uma organização. As empresas que investem na redução do risco humano através da consciencialização, cultura e responsabilidade serão muito mais resistentes contra as ameaças cibernéticas modernas do que aquelas que dependem apenas de ferramentas", disse Bill Fryberger, EY Americas Cybersecurity Advisory Leader.

As organizações estão a implementar controlos de identidade e de acesso mais fortes, a modernizar os programas de ameaças internas e a ministrar formação de sensibilização personalizada e baseada no risco aos seus funcionários, de modo a reduzir o erro humano, impedir campanhas de engenharia social e evitar configurações incorretas que possam conduzir a violações.

Risco atenuado:

• Erro humano: A exploração do erro humano pode aumentar à medida que os empregados "brincam" independentemente com as ferramentas de IA nas suas tarefas quotidianas. De acordo com o inquérito EY Responsible AI Pulse de outubro de 2025, 68% das organizações permitem "programadores cidadãos" (funcionários que desenvolvem ou implementam agentes de IA de forma independente). No entanto, apenas seis em cada 10 fornecem orientações formais aos seus empregados.
• Campanhas de vishing, phishing e engenharia social com IA direcionada: Sendo já um método eficaz para obter acesso não autorizado num ciberataque, estas campanhas estão a aumentar - os e-mails de phishing gerados por IA aumentaram 67% em 2025.⁴
• Configurações incorretas inadvertidas que causam violações de dados.

2. Proteja os dados utilizados nas iniciativas de IA

Os dados são a base de qualquer sistema de IA, por isso, os principais CISOs estão a trabalhar para garantir cada tipo de dado, seja dados de entrada do utilizador para ajudar a personalizar resultados para contextos organizacionais, dados de treino e ajuste para ajudar a construir modelos fundamentais, ou dados rotulados para validar os resultados dos modelos. Concentram-se em salvaguardar a confidencialidade, a integridade e a disponibilidade dos dados - implementando defesas contra ataques de envenenamento e injeção de dados, reforçando os controlos de dados sensíveis e de terceiros, e aplicando uma encriptação forte para reduzir a exposição de informações confidenciais e garantir que os sistemas de IA são treinados em fontes fiáveis.

Riscos atenuados:

• Envenenamento de dados: O envenenamento de dados pode reduzir a precisão do modelo em até 27% no reconhecimento de imagens e 22% na deteção de fraudes, tornando-se uma prioridade elevada para os CISOs tratar.⁵
• Utilize dados confidenciais, sensíveis ou de Informações Pessoais Identificáveis (IPI) para treinar sistemas e agentes de IA: Consulte o estudo de caso abaixo para saber como o Microsoft 365 Copilot mantém padrões de dados rigorosos.
• Fugas de dados de resultados da IA: A IA pode revelar informações sensíveis acidentalmente ou de forma intencional. Por exemplo, num desafio recente de injeção de estímulos, 88% dos participantes conseguiram enganar a GenAI para que fornecesse informações sensíveis.⁶

3. Reestruture a deteção e resposta a ameaças com IA

Os principais CISOs estão a reformular a deteção e resposta a ameaças de IA, unificando a visibilidade e a defesa em toda a superfície de ataque de IA. Três quartos das organizações estão atualmente a trabalhar para automatizar os seus processos de deteção de cibersegurança, de acordo com um estudo da EY. Estão a aplicar monitorização orientada por IA, resposta automatizada e inteligência de ameaças melhorada para bloquear injeções rápidas, higienizar resultados, redigir dados sensíveis, mitigar tentativas de negação de serviço e conter agentes com privilégios excessivos. Esta abordagem integrada ajuda as organizações a detetar, responder e adaptar-se rapidamente a atividades maliciosas que visam os sistemas de IA e as suas cadeias de fornecimento. O setor bancário está especialmente avançado com a IA agêntica, com mais de metade dos executivos a afirmar que os sistemas de IA agêntica são altamente capazes de melhorar a cibersegurança, de acordo com um estudo da MIT Technology Review em associação com a EY.

Riscos atenuados:

• Ciberataques a sistemas de IA e cadeias de abastecimento de IA: Os CISO estão cada vez mais conscientes do maior risco de cibersegurança dos sistemas de IA. Por exemplo, 76% das organizações que utilizam a IA nas suas auditorias têm a perceção de um maior risco cibernético.⁸
• Agenciamento excessivo ou resultados inadequados dos agentes de IA
  

4. Atenuar as ameaças à cadeia de abastecimento de IA

A natureza interligada do desenvolvimento da IA exige que as organizações criem uma forte gestão de riscos de terceiros e visibilidade da superfície de ataque. Os CISOs estão a mitigar as ameaças à cadeia de fornecimento de IA através da implementação de transparência, visibilidade e normas mínimas de segurança em fornecedores terceiros e componentes de IA. Estão a reforçar a gestão de ativos, a aplicar rigorosos controlos de risco por terceiros e a utilizar a verificação criptográfica de modelos para reduzir as dependências e vulnerabilidades ocultas introduzidas através de software de IA externo.

Riscos atenuados:

• Complexidade, dependências ocultas e vulnerabilidades adicionais: A ameaça é real - 61% das empresas sofreram uma violação por parte de terceiros no ano passado.¹⁰

5. Endureça os sistemas de IA

As organizações estão a trabalhar com os seus CISOs para reforçar os sistemas de IA, integrando a segurança em todo o ciclo de vida do desenvolvimento e da implementação - desde a conceção até ao funcionamento. Reconhecem a importância desta etapa: 83% dos líderes afirmam que a adoção da IA seria mais rápida se dispusessem de uma infraestrutura de dados mais sólida, de acordo com um estudo da EY (via ey.com US). "Integrar os controlos de segurança certos numa implementação de IA e endurecer os sistemas de IA ajuda a equipa de cibersegurança a definir o tom para toda a organização, estabelecendo a equipa como um modelo para a implementação de IA responsável", disse Dan Mellen, EY Global Cyber Chief Technology Officer.

Como resultado, as organizações estão a integrar codificação segura e governança de modelos nas operações de machine learning (MLOps), aplicando testes adversariais e red teaming, e a impor padrões rigorosos de configuração, segmentação e gestão de vulnerabilidades. Esta abordagem reduz erros e configurações incorretas, protege contra fraquezas a nível da infraestrutura e ajuda a garantir que os modelos e agentes de IA sejam implementados sobre fundações resilientes.

Riscos atenuados:

• Erros, configurações incorretas e código vulnerável devido a um desenvolvimento acelerado e à falta de conhecimentos especializados: As configurações incorretas da nuvem e da IA são excecionalmente comuns, com 98,6% das organizações a afirmarem que têm configurações incorretas críticas na nuvem.
• Vulnerabilidades da infraestrutura subjacente: Uma infraestrutura fraca é simultaneamente um risco e um obstáculo à implementação da IA - de acordo com o estudo da EY (via ey.com US), 67% dos líderes afirmam que uma infraestrutura inadequada está a atrasar ativamente os seus esforços de IA.

Em conjunto, estas de barreiras de cibersegurança ajudará os CISOs a garantir a implementação da IA em toda a empresa e a gerar mais valor a partir da função de cibersegurança. Ao concentrar os investimentos em áreas de valor claro, os CISOs podem promover a sua função dentro da organização e melhorar rapidamente as suas capacidades de cibersegurança para acompanhar o ritmo do mundo NAVI.

AnnMarie Pino, Diretora Associada, Ernst & Young LLP; William Reid, Diretor Assistente, Ernst & Young LLP; e Joe Morecroft, Diretor Associado, EYGS LLP, contribuíram para este artigo.