MADRI 20 out. (Portaltic/EP) -
Mais de 600 pessoas se reuniram no Congresso ISACA Europe 2025 para discutir inteligência artificial (IA), ameaças cibernéticas e resiliência digital, compartilhando tendências, lições aprendidas e recomendações práticas.
"Já estamos em uma guerra cibernética", alertou o consultor administrativo da IBM, Eric Jeffery, analisando como a inteligência artificial está transformando o equilíbrio entre atacantes e defensores. Sua reflexão fez parte de uma discussão mais ampla sobre o impacto global da IA na segurança, governança e capacidade de resposta organizacional.
Um aviso que vem no momento em que a IBM acaba de inaugurar o mais recente computador quântico na Espanha (em San Sebastian) e os governos de diferentes países estão fortalecendo suas estratégias de defesa digital e estruturas regulatórias, como o novo Centro Nacional de Segurança Cibernética na Espanha.
Por esse motivo, Jeffery também enfatizou durante seu discurso que "os atacantes evoluem mais rápido do que os defensores" e que a IA "acelera o reconhecimento" de vulnerabilidades, o que representa um desafio que transcende fronteiras e exige cooperação internacional.
Essa foi uma das principais conclusões do Congresso ISACA Europe 2025, realizado em Londres (Reino Unido), que contou com mais de 50 palestrantes e 36 sessões sobre governança, auditoria, privacidade, segurança cibernética e inteligência artificial.
O evento reuniu mais de 600 gerentes de tecnologia, CISOs, auditores e líderes de mais de 90 países para discutir como criar confiança digital em um contexto de ameaças crescentes.
Durante todo o evento, foram repetidas várias mensagens que ecoaram o alerta de Jeffery: os ataques cibernéticos estão se tornando cada vez mais sofisticados, industrializando e diversificando seus vetores de entrada, enquanto as organizações europeias estão tentando acompanhar o ritmo investindo em talentos, treinando sua equipe e cumprindo regulamentações como NIS2 e DORA.
Ao mesmo tempo, a pressão está aumentando sobre os profissionais e as equipes de segurança, que já estão liderando as estruturas de governança de IA em suas empresas, mas precisam de mais treinamento prático e suporte institucional para implementar a regulamentação de forma eficaz.
RESPOSTA A INCIDENTES
Nesse contexto, o instrutor sênior e especialista em assuntos comerciais da Firebrand Training, Phil Chapman, pediu que se voltasse ao básico, mas com uma visão atualizada, sobre detecção, análise e recuperação de incidentes cibernéticos. Ele também enfatizou que a IA facilita o aumento dos ataques por parte de agentes menos sofisticados, enquanto as unidades de aplicação da lei já estão "lidando com um volume de incidentes que excede sua capacidade operacional".
Os palestrantes concordaram que a resposta a incidentes deve evoluir de uma abordagem de detecção para uma abordagem de recuperação, com a inteligência artificial como uma ferramenta para antecipar vulnerabilidades, automatizar a análise e reduzir o tempo de contenção.
CONFORMIDADE REGULATÓRIA
Claudio Cilli, professor universitário e especialista em segurança cibernética, abordou o ajuste entre NIS2 e DORA e sua sobreposição com outras regulamentações europeias. A esse respeito, ele destacou que a DORA é aplicada diretamente e "prevalece em caso de conflito", enquanto a NIS2 requer transposição nacional e cria categorias (essencial/importante) com obrigações e sanções graduais.
Sobre esse ponto, Cilli pediu mais pragmatismo: o bom cumprimento da NIS2 e da DORA abrange "70-80%" do ecossistema de segurança europeu; o restante dependerá do setor e de sua criticidade.
Tim Clements, fundador da Purpose Means e consultor em governança de IA, proteção de dados e GRC, também propôs uma metodologia prática para alinhar os critérios ambientais, sociais e de governança (ESG) com a privacidade e a IA. "Se você não começar a fazer um trabalho real, nada vai mudar", resumiu ele, defendendo roteiros focados na minimização, retenção e responsabilidade de dados que reduzam a pegada de carbono (energia ou água) e o risco.
Além disso, Clements recomendou a eliminação dos silos entre as equipes de ESG, segurança e TI: "Trata-se de unir esses mundos" com uma divisão de objetivos, de slogans a tarefas mensuráveis, compartilháveis entre áreas e regiões, e com um propósito claro de melhoria contínua, disse ele.
RANSOMWARE E NOVAS ROTAS DE ACESSO
O painel 'Ransomware: To Pay or Not to Pay' (com Richard Hollis, Robert Findlay e Tony Gee) analisou as implicações legais, éticas e operacionais do pagamento e a evolução para o Ransomware as a Service (RaaS) e a extorsão múltipla.
Tony Gee, especialista em consultoria de TI e gerenciamento de segurança, discutiu os desafios e as práticas recomendadas para a criação de um programa eficaz de inteligência contra ameaças cibernéticas (CTI) durante sua sessão sobre "Deepfakes and Cookie Jars: The New Entry Points for Ransomware".
Gee descreveu alguns dos novos pontos de entrada ("deepfakes", roubo de cookies e tokens de sessão e vishing de voz gerado por IA), que priorizam a identidade e a fraude em relação ao "malware clássico".
Nesse sentido, a mensagem geral do painel foi inequívoca: educação, exercícios e coordenação com o setor comercial e jurídico fazem a diferença em janelas de decisão que são contadas em horas, não em dias.
Gee também enfatizou que esse programa é fundamental para identificar os invasores e seus métodos, dividindo-o em três tipos de inteligência: estratégica, operacional e tática. Ele também destacou a dificuldade de distinguir o risco real do risco falso e apresentou vários casos que demonstram a necessidade de alinhamento entre as partes interessadas e métricas como a proporção de inteligência acionável.
GOVERNANÇA, TALENTO E CULTURA
Encerrando a conferência, o diretor executivo global da ISACA, Chris Dimitriadis, enfatizou que "a tecnologia por si só não é suficiente": a resiliência depende das pessoas, da liderança e da comunicação eficaz entre os perfis técnico e gerencial.
Ele enfatizou que a segurança cibernética deve ser assumida como uma prioridade estratégica de negócios, com foco na preparação, responsabilidade e treinamento prático das equipes.
De acordo com dados compartilhados na conferência, a porcentagem de organizações com uma política interna de IA aumentou de 10% para 30% em um ano, enquanto mais de 90% já usam IA de alguma forma; essa lacuna entre uso e governança reforça a urgência de treinamento, cultura corporativa e estruturas claras para o uso seguro e responsável da tecnologia.
Esta notícia foi traduzida por um tradutor automático