Os modelos de segurança que eram eficazes há alguns anos estão agora sob grande pressão devido à rapidez com que as organizações estão a mudar. À medida que avançamos para 2026, muitas equipas enfrentam um cenário de risco maior e mais complexo.
Isto é em grande parte impulsionado pela rápida adoção da inteligência artificial (IA), pelo aumento da automação e pela mudança contínua para plataformas de nuvem e colaboração.
Consultor CISO Sênior na KnowBe4.
Estes desafios fundamentais não são novos. A propriedade inconsistente da segurança, os controlos irregulares entre os sistemas e a segurança vinculada no final do ciclo de entrega ainda estão presentes, mas agora tendem a surgir mais rapidamente, são mais difundidos e têm um impacto maior.
“O ponto de inflexão da IA”
À medida que as empresas adotam a IA em grande escala, fica claro que esta não é apenas mais uma categoria de ameaça. A IA é um ponto de inflexão fundamental na gestão de riscos.
Introduz duplo risco. Internamente, os funcionários podem compartilhar muitos dados confidenciais em ferramentas de IA sem compreender totalmente como essas informações são armazenadas ou protegidas. Do lado de fora, os cibercriminosos estão usando IA para criar falsificações profundas, personificar indivíduos confiáveis e escalar ataques com velocidade e precisão sem precedentes.
Embora quase todas as organizações relatem ter tomado medidas para lidar com o risco da IA, muitos funcionários sentem que o acesso às ferramentas aceites é demasiado lento, restritivo ou inconsistente. Ao mesmo tempo, a IA não sancionada ou sombria está se tornando mais comum
Os funcionários podem já estar a utilizar contas pessoais com grandes padrões de linguagem que estão fora da supervisão organizacional, criando vetores de risco que são efetivamente invisíveis. Os mesmos comportamentos que tornam os funcionários produtivos com IA podem rapidamente se tornar passivos sem barreiras de proteção em tempo real.
É aqui que reside a maior tensão na manutenção dos modelos de segurança.
“Um Novo Perigo”
Historicamente, as organizações têm abordado os riscos de segurança relacionados com as pessoas principalmente através de formação de sensibilização e ensinando aos funcionários como reconhecer ameaças e evitar erros.
Esta abordagem é essencial porque estudos demonstraram um aumento de 90% nos incidentes cibernéticos decorrentes do elemento humano; no entanto, a abordagem já não é suficiente por si só.
Quando o risco existe literalmente em todos os lugares onde os funcionários trabalham e se comunicam, as defesas focadas no perímetro e os ciclos anuais de treinamento são estruturalmente suficientes. Isso ocorre porque o local de trabalho atual não é mais composto apenas por pessoas.
Os agentes de IA estão cada vez mais integrados em fluxos de trabalho críticos, trabalhando junto com os funcionários e interagindo com dados confidenciais. Embora mantenham vetores de ataque humanos puros, as organizações não aplicam o mesmo nível de treinamento em risco comportamental aos agentes de IA que aplicam aos seus próprios funcionários.
O resultado? Um tipo de risco novo e em grande parte não gerenciado.
Cada vez mais abaixo desta exposição está uma desconexão mais profunda entre as organizações e os seus funcionários. Quase metade dos colaboradores não acredita que os dados que gerem pertençam à organização. A propriedade ambígua envolve a criação de regras pessoais sobre compartilhamento de dados, armazenamento e uso de IA.
A identificação desta lacuna na compreensão deixa uma coisa clara: a cultura, os incentivos e as ferramentas moldam o comportamento de forma muito mais eficaz do que apenas os documentos políticos. O risco humano tem menos a ver com regras e mais com clareza.
Quando você ensina uma criança a atravessar uma estrada com segurança, você lhe ensina tudo sobre os sinais verdes e vermelhos, o que lhe dá uma estrutura e clareza sobre como atravessar qualquer estrada que surja em seu caminho em qualquer momento de sua vida.
Embora o treinamento humano envolva coaching e liderança, os modelos de agentes de IA recentemente implementados devem construir novos insights. Acertar tudo isso sob o mesmo guarda-chuva será um desafio para muitas organizações em 2026, mas só porque algo é difícil não significa que não deva ser feito.
a conta
Um novo estudo revelador descobriu que 44% das organizações em todo o mundo têm funcionários disciplinados que foram vítimas de ataques de phishing. Esta abordagem à segurança dominada pela punição prejudica ainda mais os resultados, uma vez que as perspectivas da liderança e dos trabalhadores são profundamente distorcidas.
Os líderes tendem a favorecer a disciplina e as consequências formais, enquanto os funcionários favorecem o apoio, o coaching e a orientação focados. Estratégias com sanções elevadas prejudicam a confiança e minam a resiliência a longo prazo. Quando o medo prevalece, os relatórios de incidentes diminuem, a confiança diminui e as equipes de segurança ficam cansadas.
As organizações não podem penalizar o seu caminho para um melhor comportamento de segurança. Mecanismos que reduzam o risco antes que os erros ocorram, em vez de reagir após o fato, são essenciais. Em vez de nos concentrarmos em atribuir culpas, precisamos de trabalhar para construir uma cultura de segurança positiva.
É aqui que a Gestão de Riscos Humanos ou GRH deve ser posicionada como uma peça central da estratégia de segurança, em vez de uma iniciativa de apoio. A visibilidade entre plataformas sobre comportamentos de risco e sinais de risco em nível de funcionário deve substituir amplas categorias e suposições de usuários.
Construir uma cultura positiva requer formação de apoio quando o perigo se apresenta em tempo real, uma vez que a investigação descobriu que a “aprendizagem activa” (ou aprender fazendo) é incrivelmente eficaz para a retenção.
Esta abordagem reforça e integra a segurança diretamente nas tarefas diárias, e as pessoas são tratadas como participantes adaptativos e não como responsabilidades estáticas. Os sistemas de IA precisam de ser governados da mesma forma, com linhas de base comportamentais, monitorização e controlos que reflitam o papel crescente dos funcionários.
A gestão de recursos humanos torna-se a camada de ligação entre o comportamento humano, o uso da IA e a resiliência organizacional.
A direção da viagem é clara. As organizações estão migrando para uma força de trabalho composta por pessoas e agentes, e a segurança é uma questão de tempo, não de adoção. Para sustentar a inovação sem aumentar o risco, as melhores práticas de segurança devem agora ser incorporadas em sistemas humanos e máquinas.
A investigação já mostra que os primeiros a adoptar beneficiam de taxas de incidência mais baixas, maior confiança e inovação mais rápida e segura impulsionada pela IA. O futuro da segurança cibernética pertence às organizações que param de tentar bloquear as pessoas e começam a projetar sistemas que as ajudem a tomar melhores decisões no momento em que são tomadas.
Apresentamos o melhor software de criptografia.
Este artigo foi produzido como parte do canal Expert Insights da TechRadarPro, onde apresentamos as melhores e mais brilhantes mentes da indústria de tecnologia atualmente. As opiniões expressas aqui são de responsabilidade do autor e não necessariamente da TechRadarPro ou Future plc. Caso tenha interesse em participar, mais informações aqui:
