“As práticas de proteção não acompanharam o ritmo da adoção e os times de segurança, muitas vezes, estão se esquecendo dos desafios fundamentais”, destacou Alejandro Dutto, diretor de engenharia de segurança da Tenable para América Latina. “A infraestrutura evoluiu, mas a estratégia de segurança precisa não acompanhou o ritmo”, concordou Daniel Sant’Anna, gerente de contas da Tenable Brasil. Ao lado de Arthur Capella, gerente-geral da Tenable Brasil, os executivos repercutiram os dados da pesquisa “O Estado da Segurança de IA e Nuvem 2025”, divulgada, nesta quarta-feira (8/10), pela Tenable, em coletiva de imprensa em São Paulo.

O relatório, em parceria com a Cloud Security Alliance (CSA), faz coro para o antigo alerta de que a segurança envolve pessoas, processos e tecnologia. A superfície de ataques está em constante evolução, com a quantidade de vulnerabilidades crescendo ano após ano: 82% das organizações operam ambientes híbridos (local e nuvem); 63% usam mais de um provedor de nuvem (multicloud) e 55% das empresas já utilizam IA em produção.

O rápido crescimento de sistemas híbridos, multinuvem e de IA cria pontos cegos e complexidades que resultam em riscos. O saldo disso é visibilidade desarticulada, governança inconstante de identidades e lacunas no monitoramento de riscos que os invasores podem explorar. Os dados mostram que 34% das organizações com workloads de IA já sofreram violações relacionadas à tecnologia e 14% disseram não ter certeza. “O grande ponto de inflexão foi na pandemia, porque as empresas foram obrigadas a moverem a infraestrutura para nuvem e conceder acesso remoto”, assinalou Capella.

A avaliação é que as práticas de segurança IA são insuficientes — pouca adesão a testes específicos de segurança em IA, à classificação e criptografia de dados de IA e à implantação de MLOPs seguro — e os principais desafios à segurança da infraestrutura na nuvem estão ligados a entender riscos como os relacionados à falta de visibilidade e à complexidade do ambiente de nuvem. “A segurança tem como alvo os riscos errados, porque as causas reais dos incidentes são tão antigas quanto vulnerabilidades de software, falha de modelos e ameaças internas”, assinalou Dutto.

Os incidentes de IA, na prática, estão sendo causados por ameaças tradicionais, como vulnerabilidades de software (21%), falhas de modelos (19%), ameaças internas (18%) e configurações incorretas na nuvem (16%). No entanto, os times de segurança concentram preocupações em riscos considerados “novos”, como manipulação de modelos (18%) e uso de modelos não-autorizados (15%), demonstrando um desalinhamento entre percepção de risco e realidade. Esse desalinhamento sugere que muitos programas de segurança ainda tratam a IA como algo fundamentalmente novo, em vez de aplicar princípios comprovados de segurança da nuvem e identidade a esses novos sistemas.

Ainda dentro das causas tradicionais, a identidade é o elo mais fraco, porque, segundo explicou Dutto, não é gerenciada pelo mesmo que gerencia os ativos e conta com políticas diferentes. Assim, excesso de permissões e controles inconsistentes aparecem como principais riscos. Isso ganha ainda mais complexidade em um cenário que mescla identidade humana e a não-humana, que é a máquina acessando os sistemas, o que exige ter métodos de certificação e gerenciamento de permissão e limites.

Tanto que no estudo identidade emergiu como principal vulnerabilidade: 59% das organizações detectaram identidades desprotegidas e permissões perigosas como o principal risco de segurança à infraestrutura da nuvem. Entre as empresas que sofreram violações, três das quatro principais causas estavam relacionadas à identidade: excesso de permissões (31%), controles de acesso inconsistentes (27%) e má higiene de identidade (27%).

Embora reconheçam o problema, as empresas enfrentam lacunas estruturais para lidar com ele. Segundo aponta a pesquisa, 28% relatam desalinhamento entre equipes de nuvem e IA e 21% têm dificuldade em aplicar o princípio de menor privilégio. A prioridade mais citada para os próximos 12 meses é justamente implementar esse controle (44%) dentro de uma estratégia zero trust.

“As empresas estão combatendo incêndios em vez de preveni-los”, resumiu Alejandro Dutto, explicando que a cultura ainda está orientada a métricas reativas. O problema disso é que, quando se fala em incidentes, a brecha da segurança já se abriu. “O gerenciamento tem de ser proativo”, frisou Dutto. A lacuna de conhecimento especializado é uma das barreiras, faltando liderança com conhecimento suficiente dos riscos em nuvem. “A ferramenta sozinha não faz nada. Tem de ter processo”, alertou Dutto.

Para fortalecer os programas de segurança da nuvem e inteligência artificial, as organizações precisam passar de respostas reativas a estratégias proativas e embasadas em riscos, entendendo os riscos e gerando as métricas. Isso, frisou Daniel Sant’Anna, é mais barato que ser atacado e ter de gerenciar os danos. “O pessoal está olhando para o fim quando deveriam, primeiramente, entender onde tem risco”, assinalou o gerente de contas.

Ele apontou um caminho para maturidade envolvendo cinco passos: priorização da visibilidade unificada e da aplicação consistente de políticas em ambientes híbridos e multinuvem; investimentos em governança de identidade, incluindo controles para identidades com privilégios mínimos e não humanas (IA); expansão de KPIs para refletir a prevenção e a resiliência, não apenas a resposta a incidentes; alinhar o entendimento da liderança com as realidades operacionais para apoiar um planejamento e alocação de recursos mais inteligentes; e ir além da conformidade como o limite máximo da segurança de IA, usando-a como ponto de partida para salvaguardas técnicas mais profundas.

Para Capella, “a corrida pela IA em nuvem já começou e as organizações no Brasil estão competindo com a proteção ainda no banco de reservas. Se a segurança não avançar no mesmo ritmo da inovação, a transformação digital corre o risco de ser construída sobre alicerces frágeis. O futuro pertence a quem for capaz de alinhar velocidade com segurança”.