Dia: 5 de agosto de 2025

Publicado em por

EMPRESAS BRASILEIRAS FORTALECEM ESTRATÉGIAS DE CIBERSEGURANÇA COM FOCO EM IA, ZERO TRUST E CONFORMIDADE COM A LGPD

As organizações brasileiras estão redesenhando suas estruturas de cibersegurança diante da sofisticação dos ataques e da evolução constante das tecnologias de proteção. Um novo relatório técnico publicado por uma consultoria internacional especializada em tecnologia com foco em inteligência artificial revela que o investimento em segurança da informação no Brasil tem se intensificado, especialmente diante do impacto financeiro e reputacional causado por incidentes cibernéticos.

Entre os principais fatores que motivam esse movimento estão o tempo de inatividade gerado por violações, o abalo à imagem corporativa, os riscos de responsabilização judicial e o cumprimento das exigências legais impostas pela Lei Geral de Proteção de Dados (LGPD). A resposta a incidentes tem se tornado cada vez mais complexa, exigindo habilidades específicas que, muitas vezes, não estão disponíveis internamente nas empresas – o que leva à terceirização de serviços especializados.

O uso da inteligência artificial e do aprendizado de máquina tem ganhado destaque como elemento estratégico na análise de grandes volumes de dados de segurança, como logs, alertas e fontes de inteligência sobre ameaças. Essas tecnologias vêm permitindo a detecção mais rápida de malwares, a automação de respostas e a integração entre diferentes ferramentas de defesa, além de reduzirem a quantidade de falsos positivos – o que otimiza o trabalho das equipes técnicas.

Outro ponto relevante abordado no estudo é a adoção progressiva da arquitetura Zero Trust, baseada na ideia de que nenhuma identidade deve ser presumida como confiável. Mesmo os usuários internos passam por verificações constantes de autenticação e autorização. Para implementar esse modelo, é necessário modernizar a infraestrutura, sobretudo no que se refere ao gerenciamento de identidade e acesso (IAM), o que tem levado diversas companhias a buscar fornecedores especializados para viabilizar essa transição.

A atuação conjunta entre setor privado, academia e governo tem sido estimulada por meio de estratégias nacionais, como a E-Ciber, instituída para fomentar o compartilhamento de informações e a cooperação na resposta a ameaças. Essa mobilização institucional visa fortalecer a resiliência digital em setores estratégicos e na infraestrutura crítica do país.

Apesar dos avanços tecnológicos, o déficit de profissionais qualificados representa um obstáculo significativo. Estima-se que o Brasil careça de aproximadamente 750 mil especialistas em segurança da informação. Para contornar esse desafio, as organizações têm optado por parcerias com empresas fornecedoras de serviços gerenciados, sobretudo nas áreas de segurança em nuvem e resposta a incidentes.

O relatório também destaca a adoção de soluções de segurança de borda (SSE) e o desenvolvimento do mercado de detecção e resposta estendidas (XDR), indicando que a maturidade da segurança cibernética no Brasil passa por um processo de transformação estrutural. Nesse contexto, a modernização das políticas de proteção de dados e a integração entre novas tecnologias e práticas de governança digital serão decisivas para sustentar o crescimento empresarial em ambiente digital seguro.

Publicado em por

MODERNIZAÇÃO ADMINISTRATIVA E LGPD: O PAPEL DOS DECRETOS FEDERAIS NA ESTRUTURAÇÃO DO ESTADO DIGITAL

A digitalização do Estado brasileiro alcançou um novo patamar com a publicação dos Decretos Federais nº 12.561 e nº 12.564, ambos de julho de 2025. Mais do que acelerar o uso de meios eletrônicos na administração pública, essas normas consolidam um modelo de governança digital ancorado na biometria — classificada pela Lei Geral de Proteção de Dados (LGPD) como dado pessoal sensível —, estabelecendo diretrizes que conciliam eficiência, segurança jurídica e proteção de direitos fundamentais.

Na prática, os decretos estruturam medidas para modernizar processos relacionados a benefícios previdenciários e operações de crédito consignado, ao mesmo tempo em que delimitam salvaguardas robustas contra riscos como fraudes, vazamentos e práticas discriminatórias, sempre com a atuação supervisora da Autoridade Nacional de Proteção de Dados (ANPD).

Bases interoperáveis e transição gradual

O Decreto nº 12.561/2025 instituiu a verificação biométrica como requisito para concessão de benefícios previdenciários, adotando a Carteira de Identidade Nacional (CIN) como referência principal para a identificação dos cidadãos. Em lugar de uma transição abrupta, a norma previu uma arquitetura de interoperabilidade regulada, coordenada pela Secretaria de Governo Digital, capaz de assegurar padronização e rastreabilidade no tratamento de dados sensíveis.

Reconhecendo os limites de cobertura da CIN no momento atual, o decreto autorizou o uso de registros transitórios — como CNH, dados da Polícia Federal e do TSE —, de forma a evitar exclusão de cidadãos e descontinuidades no acesso aos serviços. Essa abordagem evidencia um olhar pragmático, ao permitir que cada órgão implemente fluxos próprios de coleta e validação biométrica conforme sua realidade operacional.

Formalização digital com consentimento qualificado

Já o Decreto nº 12.564/2025 regulamenta a formalização digital do crédito consignado, estabelecendo como requisito a realização de prova de vida biométrica e o registro de consentimento explícito e auditável do trabalhador. O objetivo é garantir que o titular detenha o controle efetivo sobre seus dados, protegendo-o contra fraudes e operações não autorizadas.

Embora a norma se baseie na exigência de consentimento, é juridicamente viável considerar, em determinados contextos, o uso das hipóteses legais do art. 11, II, “a” ou “g” da LGPD, que dispensam o consentimento quando o tratamento for necessário ao cumprimento de obrigação legal ou à prevenção de fraudes. A adoção dessas bases depende, contudo, de uma análise criteriosa que respeite os direitos previstos no art. 9º da lei e leve em conta eventuais riscos à liberdade individual do titular.

A norma também exige a produção de evidências técnicas que comprovem autoria e integridade do ato, como gravações em vídeo com movimentos específicos para atestar a vitalidade do cidadão. Esse tipo de comprovação já é utilizado em plataformas públicas, como o sistema Gov.br, e reforça a confiabilidade dos serviços digitais voltados a populações mais vulneráveis, como aposentados e pensionistas.

Supervisão regulatória e proteção preventiva

A atuação da ANPD está posicionada como elemento estruturante desse processo. Com base na LGPD, a autoridade dispõe de instrumentos para acompanhar, orientar e intervir sempre que houver indícios de riscos aos direitos dos titulares. Seu Radar Tecnológico, publicado em 2024, identificou pontos críticos no uso da biometria, como a possibilidade de desvio de finalidade e os impactos da irrevogabilidade dos dados em caso de vazamento ou erro.

A previsão de relatórios de impacto, recomendações técnicas e auditoria contínua, conforme os artigos 4º, §3º, 38 e 55-J, XIII da LGPD, permite à ANPD exercer um papel de vigilância ativa. Com isso, promove-se uma cultura de responsabilização no uso de tecnologias de identificação, reduzindo assimetrias entre o Estado e o cidadão.

Tecnologia a serviço da inclusão e da cidadania

A digitalização biométrica não está imune a desafios sociais. Grupos como idosos, moradores de áreas remotas e pessoas com restrições de acesso à tecnologia podem encontrar barreiras no uso de sistemas digitais de identificação. Por essa razão, os decretos incorporaram mecanismos de inclusão, com a manutenção de alternativas técnicas e fluxos híbridos enquanto a CIN ainda não se torna universal.

Essa escolha não é apenas operacional, mas ética: o acesso a direitos não pode depender exclusivamente da adequação tecnológica do indivíduo. Ao permitir caminhos alternativos e preservar o consentimento como elemento documentado, o modelo adotado assegura protagonismo ao cidadão no processo de autenticação, tornando-o parte ativa na proteção de seus dados.

Transparência e confiabilidade como pilares da transformação

A confiança nos serviços públicos digitais exige mais do que usabilidade: depende de infraestrutura segura, processos auditáveis e transparência institucional. Os decretos exigem a geração de logs, autenticação multifatorial e confirmação humana para decisões críticas, mitigando erros e responsabilizando eventuais falhas de sistemas automatizados.

Casos anteriores, como o de uma identificação incorreta por reconhecimento facial em 2019 no estado do Rio de Janeiro, servem como referência para a construção de um modelo que privilegia a rastreabilidade e a governança técnica. Aprender com erros passados é um passo essencial para consolidar a confiança pública nas ferramentas do Estado Digital.

Os marcos normativos de 2025 mostram que a digitalização da máquina pública pode ser conduzida de forma equilibrada, aliando inovação tecnológica à responsabilidade institucional. Ao estruturar a interoperabilidade biométrica em bases legais, auditáveis e inclusivas, o país dá um passo importante rumo à consolidação de um modelo de Estado digital centrado no cidadão, tecnicamente consistente e atento aos limites da proteção de dados.

Ainda existem pontos de atenção, como o reforço da cibersegurança e o combate a eventuais distorções de acesso. Mas o caminho regulatório agora delineado oferece parâmetros claros para o desenvolvimento de soluções digitais legítimas, seguras e socialmente responsáveis.

Publicado em por

GOVERNANÇA DE IA: O QUE FALTA PARA AS EMPRESAS USAREM ESSA TECNOLOGIA COM SEGURANÇA?

A maturidade da governança de Inteligência Artificial (IA) ainda é incipiente no mundo corporativo. Segundo o estudo “State of AI Application Strategy 2025”, apenas 2% das empresas analisadas alcançaram um modelo de governança considerado pleno para o uso da IA. Outros 21% foram classificados como pouco preparados, indicando um caminho ainda longo para estruturas organizadas de uso ético, seguro e estratégico dessa tecnologia.

A implementação da LGPD trouxe consigo a figura do Encarregado de Proteção de Dados (DPO), mas isso não significou, necessariamente, o avanço automático da governança de dados nas organizações. Enquanto grandes empresas estruturam internamente suas estratégias com profissionais dedicados, o segmento de pequenas e médias empresas frequentemente recorre a serviços terceirizados de DPO, muitas vezes vinculados a empresas que também atuam com segurança da informação. Esse modelo, embora viável, limita a profundidade e abrangência das ações de governança, principalmente diante das novas exigências trazidas pela IA.

A realidade é que a IA demanda uma abordagem mais ampla e especializada. A estruturação de políticas voltadas exclusivamente aos dados estruturados já não é suficiente. As organizações precisam lidar com fluxos intensos de dados não estruturados, que não apenas alimentam sistemas baseados em IA, mas também são responsáveis por gerar novas camadas de dados. Essa dinâmica exige mecanismos de rotulagem, classificação e descoberta em larga escala, muitas vezes em tempo real, como nas soluções baseadas em RAG (retrieval-augmented generation), que permitem a implementação de políticas de governança diretamente nos fluxos entre modelos de linguagem.

Neste contexto, o papel do Chief Data Officer (CDO) ganha relevância. Esse profissional tem a missão de integrar a gestão de dados às estratégias corporativas, promovendo conselhos de governança multifuncionais e conectando os indicadores de desempenho dos negócios às métricas de conformidade e ética no uso de dados. Contudo, apenas 24% das empresas ouvidas no estudo realizam a rotulagem contínua dos dados utilizados em aplicações de IA – etapa fundamental para uma governança estruturada. As demais operam com transparência reduzida, o que implica riscos tanto de exposição indevida quanto de ataques cibernéticos.

Outro desafio apontado é a adoção da multicloud. Embora seja cada vez mais comum que empresas operem com múltiplas nuvens públicas – com média de quatro ambientes distintos – essa prática amplia a complexidade da gestão de dados e segurança. A multiplicidade de regras, modelos de cobrança e políticas de proteção em cada provedor requer não apenas ferramentas robustas, mas uma estratégia de orquestração unificada. Muitas empresas, ao mesmo tempo que migram aplicações para ambientes privados ou colocation, continuam a contratar novas soluções em nuvens públicas, o que torna a visibilidade e o controle ainda mais desafiadores.

Soluções que centralizam a gestão de segurança distribuída vêm sendo adotadas para mitigar esses riscos. A ideia é aplicar, de um ponto único, regras que se estendam a todas as nuvens envolvidas, com uso de análise comportamental, machine learning e IA. Essa abordagem permite controle granular, independentemente da infraestrutura utilizada.

No aspecto da proteção da IA em si, a segurança vai além da camada tradicional de rede. Os firewalls clássicos perdem efetividade diante da complexidade semântica dos dados manipulados por modelos de linguagem. Soluções mais modernas operam em camadas superiores, como a de aplicações e APIs, e incorporam filtros semânticos, capazes de avaliar o contexto e o conteúdo que transita entre os usuários e as IAs públicas ou privadas. Esses mecanismos são úteis tanto para controlar o que pode ser enviado a um sistema como o ChatGPT, quanto para garantir que as respostas geradas respeitem critérios de privacidade e integridade definidos pelas regras de negócio da própria empresa.

Esse tipo de proteção torna-se essencial em um momento em que as organizações utilizam massivamente IAs públicas, mesmo quando estão desenvolvendo soluções internas. O controle sobre esse fluxo de informações deve ser refinado e contextualizado, evitando que dados confidenciais sejam inadvertidamente compartilhados ou que interações com clientes e investidores violem diretrizes internas.

A governança da IA, portanto, não se resume à conformidade legal. Trata-se de uma camada estratégica de gestão de riscos, ética e performance, que exige profissionais qualificados, processos bem definidos e soluções tecnológicas adaptadas a um ambiente de dados cada vez mais complexo.