A SEGURANÇA DIGITAL ESTÁ PRONTA PARA UMA GOVERNANÇA ADAPTATIVA E DISTRIBUÍDA NA ERA DA AGILIDADE E DA INTELIGÊNCIA ARTIFICIAL?

‎Por Ricardo Dastis

A paisagem da segurança digital está em constante e rápida evolução, impulsionada pela busca contínua por agilidade e inovação. Modelos tradicionais de gestão de projetos, com controles de segurança centralizados e sequenciais, como o waterfall, foram rapidamente substituídos por abordagens ágeis e digitais, em que a tecnologia deixa de ser tratada como “projetos” e passa a ser tratada como “produtos”. Paralelamente, a ascensão de ferramentas low-code/no-code e, mais recentemente, das Inteligências Artificiais (IAs) generativas de código, promete democratizar o desenvolvimento e acelerar exponencialmente a entrega. Esse cenário, embora celebre velocidade e eficiência, impõe um paradoxo crucial para a segurança da informação (SI): como garantir resiliência e conformidade quando a criação se torna mais rápida e menos transparente, e a responsabilidade se distribui pela organização?

A resposta está em uma governança adaptativa e na distribuição consciente da responsabilidade cibernética, transformando o clichê “a segurança é responsabilidade de todos” em prática cultural e operacional real.

A DESCENTRALIZAÇÃO IRREVERSÍVEL E O FIM DO MODELO TRADICIONAL

No modelo tradicional, a segurança era uma etapa distinta e frequentemente tardia no ciclo de desenvolvimento: especificações, checklists de segurança, meses de codificação e testes de segurança antes do go-live. Esse modelo funcionava quando a TI era uma área que “recebia encomendas” do negócio.

Contudo, a Transformação Digital e a Pandemia consolidaram o modelo ágil como padrão em muitas organizações, onde as frentes de tecnologia agora são “produtos” e não mais “projetos”.

Nesse novo paradigma digital, a primeira linha de responsabilidade pela segurança do produto recai sobre o dono do produto. Uma analogia útil é pensar na Segurança da Informação como segurança pública: a polícia [SI] faz prevenção, fiscalização e repressão, mas quem decide as grades e trancas da casa (controles específicos do produto) é o dono da casa (dono do produto), não a polícia. Da mesma forma, no trânsito, a responsabilidade por dirigir de forma prudente é do motorista, não de um agente rodoviário sentado ao lado.

Dados do Gartner reforçam essa descentralização: 67% dos CEOs e executivos de negócio querem mais trabalho tecnológico feito diretamente nas áreas de negócio e menos na TI. Além disso, 73% dos gerentes fora da TI desejam ter mais tecnólogos em suas próprias equipes. A projeção é que, até 2027, 75% dos funcionários vão adquirir, modificar ou criar tecnologia fora da visibilidade da TI. Essa tendência mostra uma migração clara da capacidade tecnológica para as unidades de negócio, tornando insustentável um modelo de segurança puramente centralizado e reativo.

GOVERNANÇA ADAPTATIVA: REVISITANDO AS LINHAS DE DEFESA EM CYBER

Diante da descentralização, o posicionamento do executivo de segurança cibernética (CISO) nas Linhas de Defesa (LoD) torna-se mais complexo. O modelo clássico de Três Linhas de Defesa, do Institute of Internal Auditors, posiciona a SI na 2ª LoD (definindo políticas e processos de gestão de riscos), com a 1ª LoD nas gerências de área (tomadoras de risco) e a 3ª LoD na auditoria interna.

Embora correto em teoria, esse modelo “one-size-fits-all” raramente se encaixa na prática, onde os níveis de maturidade das organizações são diferentes.

Uma proposta mais pragmática é um modelo adaptativo de LoDs para SI. Em uma organização com SI estruturada, os controles essenciais podem ser responsabilidade das gerências de TI (1ª LoD), com a SI atuando na definição de políticas e na monitoração contínua (2ª LoD). Em empresas com baixa maturidade, a SI pode precisar “sujar as mãos de graxa” e executar controles que, em tese, seriam da 1ª LoD para garantir o “básico bem feito”. Isso não é retrocesso, mas parte da responsabilidade da 2ª LoD em amadurecer os controles da 1ª LoD, atuando como um “pai” para processos imaturos, oferecendo atenção e suporte. A evolução da maturidade da 1ª LoD fortalece a 2ª LoD e melhora o resultado geral de segurança.

Para que essa colaboração funcione, é crucial orquestrar papéis com ferramentas como descrição de funções e matrizes RACI. Assim, a SI pode atuar na 1ª LoD em Gerenciamento de Vulnerabilidades, por exemplo, e na 2ª LoD em Gestão da Continuidade do Negócio, sem contradição. O desafio é que SI, e o CISO, evoluam das LoDs mais operacionais para as mais estratégicas, gerenciando o risco de forma distribuída e alinhando o apetite de risco com a alta administração e o Conselho. A governança, inclusive a de SI, deve ecoar do topo, construindo fortalezas com controles distribuídos sobre um modelo de governança adaptativa, em vez de “castelos de cartas” de abordagens tradicionais.

O PARADOXO DO CÓDIGO AI: EFICIÊNCIA VS. COMPLEXIDADE DE SEGURANÇA

A busca por “time to market” tem levado à adoção massiva de low-code/no-code e, mais recentemente, de IAs generativas de código, vistas como atalhos irresistíveis para acelerar entrega. No entanto, por trás da facilidade em gerar funcionalidades complexas em segundos, há uma camada de código que frequentemente é um mistério para quem a coloca em produção. Esse é o “Paradoxo do Código AI”: a agilidade na criação contrasta com a complexidade da segurança.

O problema não é a IA gerar código “errado” ou “malicioso” intencionalmente, mas a falta de contexto. A IA aprende padrões e, ao replicá-los, pode reproduzir erros, falhas e vulnerabilidades. Ela não compreende nuances da infraestrutura de produção, políticas de segurança da empresa ou a complexidade da arquitetura existente. Um snippet que funciona em teste pode se tornar vetor de ataque em produção. Ao gerar código de conexão com banco de dados, por exemplo, a IA raramente considera validação de entrada, princípio de menor privilégio ou tratamento seguro de erros.

A velocidade, nesse caso, leva à automação de vulnerabilidades. Um erro que um desenvolvedor humano cometeria uma vez pode ser replicado pela IA em centenas ou milhares de pontos, em uma velocidade impossível de acompanhar com detecção manual. Para profissionais de segurança, a ascensão do código gerado por IA exige reavaliar estratégias, pois a superfície de ataque se torna mais fluida e se expande em direções não mapeadas.

A análise de risco torna-se uma “nova fronteira”. Como auditar código que não foi escrito por uma mente humana, mas por um modelo de linguagem? Como garantir conformidade quando a origem do código é uma “caixa-preta”? A dificuldade está em encontrar a falha: se o profissional confia plenamente na IA, sem inspeção profunda, como identificar a raiz de um problema complexo após um ataque?

IMPERATIVOS ESTRATÉGICOS: DA REATIVIDADE À PROATIVIDADE NA ERA DA IA

A IA é uma ferramenta poderosa e veio para ficar; o problema não está na ferramenta, mas na ausência de governança sobre seu uso. Ignorar isso é “assinar um cheque em branco para o próximo incidente”. As organizações precisam de uma visão de segurança que vá além do que sempre foi feito, substituindo ferramentas antigas por novos paradigmas.

Uma abordagem eficaz exige:
• Proatividade na Identificação de Vulnerabilidades:
Abandonar varreduras pontuais. O código gerado por IA demanda uma Gestão Contínua de Exposição a Ameaças (CTEM), que identifique falhas e entenda o contexto e o risco real em um ambiente em constante mudança.

• Capacidade de Entender o Inesperado:
Em bases frágeis, o sinal de ataque pode ser sutil. É vital ter um Cyber Defense Center (CDC) que integre inteligência e automação, operando como um Fusion Center que vá além dos casos de uso puramente de cyber e cubra também casos de negócio (fraudes, riscos digitais), orquestrando a resposta e diferenciando ruído de ataque real, mesmo com compreensão limitada do sistema.

• Validação Crítica:
Não se deve aceitar código “pronto” como seguro. Avaliações de segurança cibernética e testes de intrusão rigorosos são urgentes para desafiar premissas e encontrar falhas ocultas, especialmente onde o conhecimento sobre a origem do código é limitado. A validação do código gerado deve incluir Análise Estática de Código (SAST), Análise Dinâmica de Aplicação (DAST) e Gestão de Componentes de Terceiros (SCA), já que o código da IA se apoia em bibliotecas e frameworks.

• Foco na Inteligência Humana:
A IA é poderosa, mas a inteligência humana, a experiência e a capacidade de análise crítica permanecem insubstituíveis. É o profissional experiente que vai decifrar detalhes, entender o comportamento da IA e garantir a resiliência do sistema.

A resposta não é proibir a IA, mas capacitar e auditar. É fundamental educar equipes de desenvolvimento sobre riscos, mesmo aquelas sem formação profunda em segurança, e implementar um processo rigoroso de análise que garanta que todo código, independentemente da origem, passe por um crivo robusto antes de ir para produção. Segurança não pode ser pensamento tardio; deve ser componente fundamental do processo de inovação, garantindo que a velocidade de hoje não se converta na vulnerabilidade de amanhã.

O PAPEL EVOLUTIVO DO CISO E A GOVERNANÇA DISTRIBUÍDA

Nesse ambiente em rápida transformação, o papel da segurança da informação precisa ser redefinido. Influência executiva e parceria com o negócio são mais críticas do que nunca.

O CISO, embora “responsável de facto” pela gestão de riscos cibernéticos, deve ser o responsável formal por garantir que líderes de negócio tenham conhecimento e capacidade para tomar decisões informadas e de qualidade sobre risco da informação.

Precisamos de um modelo que centralize a governança, mas distribua decisões e accountability. A criação de um Comitê Multidisciplinar de Cibersegurança, composto por CISO, CIO, representantes de funções corporativas (CRO, privacidade, jurídico, RH) e líderes das unidades de negócio chave, é essencial para facilitar a governança do apetite a risco, direitos de decisão, controles, políticas e responsabilidades em incidentes.

Ao mesmo tempo, é necessário distribuir responsabilidades, facilitando o “julgamento cibernético” ao criar guardrails de risco e capacitar a tomada de decisões de segurança em toda a organização. A mentalidade de que segurança é “responsabilidade de todos” precisa sair da assinatura de e-mail e entrar na cultura organizacional. As expectativas sobre cibersegurança estão amadurecendo, e stakeholders demandam mais flexibilidade e cobertura. A escala, a complexidade e o ritmo do negócio digital tornam imperativo transferir decisões, responsabilidade e accountability de cibersegurança para as unidades de negócio. Hoje, uma função de cibersegurança centralizada já não é ágil o suficiente para atender às necessidades de uma organização digital.

Isso significa que, enquanto o CISO e a função central continuarão definindo políticas e sendo consultados, a implementação e as decisões operacionais se moverão para gestores de segurança de negócio, de risco cibernético e de segurança de produto, que atuarão com mais velocidade, agilidade e proximidade das iniciativas digitais.

CONCLUSÃO

A era digital exige uma reengenharia da segurança. Não é mais possível depender de modelos centralizados e reativos, feitos para um mundo de projetos lentos e previsíveis. A agilidade inerente à Transformação Digital e a proliferação do código gerado por IA, embora impulsionem inovação, introduzem novas camadas de complexidade e risco.

Para prosperar nesse ambiente, as organizações devem adotar uma governança adaptativa que reconheça a descentralização do trabalho tecnológico e distribua a responsabilidade pela segurança. Isso implica em um CISO menos “guardião técnico” e mais facilitador estratégico, capacitando unidades de negócio a tomar decisões informadas de segurança e a desenvolver uma cultura de “julgamento cibernético”.

A segurança, de fato, é responsabilidade de todos. Mas, para que isso vá além do discurso, precisa ser estruturada por modelos de governança que centralizem estratégia e políticas, mas descentralizem execução e accountability. Somente assim, com a combinação de inteligência humana crítica, validação rigorosa de tecnologias emergentes como IA e compromisso com proatividade e colaboração, as empresas poderão construir fortalezas digitais resilientes, transformando a velocidade de hoje em segurança duradoura para o futuro. O caminho é complexo, mas a inação é um risco que nenhuma organização pode se permitir.

Ricardo-Dastis1803

CONSELHEIR@

Ricardo Dastis

Sócio e CTO da Scunna S/A. Mais de 25 anos de experiência na área de segurança da informação. Associado ao IBGC. Atuou como Executive Partner de Security and Risk Management do Gartner. CISM pelo ISACA. BS7799 Lead Auditor na primeira turma do Brasil. Atuou como CISO em empresas líderes do varejo, indústria e telecom; e como Advisor em grandes consultorias do mercado. Graduado e Pós-Graduado em Ciências da Computação pela UFRGS. Professor de Pós-Graduação em Segurança Cibernética da Unisinos, PUCRS e Mackenzie. Coautor do livro “GRC: Governança, Risco e Conformidade – Siga Este Conselho”, publicado pela Edipucrs.

Search

Soluções para Líderes

Entre em contato

Soluções para Empresas

Entre em contato

Sobre a Rede Lideres

A Rede Líderes é uma comunidade que conecta decisores empresariais com soluções de tecnologia para gerar negócios, compartilhar conhecimento e acelerar a inovação. Reunimos CEOs, CTOs e líderes de diversas áreas para trocar experiências, construir conexões estratégicas e antecipar soluções que impactam diretamente o mercado.

Não somos observadores. Somos praticantes. Atuamos dentro das empresas. Estamos no dia a dia de cada líder e empresa. Seja como criadores, como aconteceu no iFood e Loggi, seja como parceiro de empresas como Google, Meta e Uber. Por isso, temos autoridade, reputação e credibilidade com os decisores. SOMOS UMA NOVA GERAÇÃO DE LÍDERES.