Os fundadores de startups geralmente priorizam velocidade, crescimento e inovação – e presumem que a segurança pode vir mais tarde. Esta suposição não é mais verdadeira. Os ataques de inteligência artificial (IA), as leis de proteção de dados mais rigorosas e as crescentes expectativas de confiança dos utilizadores significam que a segurança cibernética é agora uma responsabilidade empresarial central e não uma reflexão técnica tardia.
A confiança digital significa que os utilizadores confiam que a sua identidade, dados e transações estão protegidos. (Foto representativa do arquivo)
Nesta entrevista, Akshay Garkel, sócio e chefe da Grant Thornton Bharat LLP, compartilha insights para fundadores que exploram IA, infraestrutura em nuvem e a Lei de Privacidade Digital de 2023 (DPDP) da Índia, superando o hype e focando nos fundamentos que realmente protegem as empresas, os dados e a confiança.
Começamos com a ideia de que o próximo cibercriminoso pode não ser humano, mas sim impulsionado pela IA. Estamos criando nós mesmos o atacante mais perfeito?
Akshay: O atacante mais sofisticado já existe. O que mudou é que os ataques não são mais limitados pelo esforço ou pelo tempo humano. A IA permite que os invasores automatizem, observem padrões e escalem continuamente. Os ataques não cansam. Esta é uma mudança real. Se os atacantes operam à velocidade da máquina, as defesas também devem mover-se à velocidade da máquina. O monitoramento apenas por humanos não é mais suficiente.
O que as startups normalmente subestimam quando se trata de segurança cibernética?
Akshay: A maioria das empresas subestima o básico. Todo mundo fala sobre ferramentas avançadas, mas as violações ainda acontecem devido a configurações fracas, controles de acesso deficientes, sistemas sem patches e uso indevido de senhas. A segurança deve fazer parte do design dos sistemas desde o início. Você não pode estragar tudo mais tarde e esperar que funcione.
A ideia de um perímetro de segurança ainda existe em um mundo baseado em nuvem e orientado por API?
Akshay: O perímetro se expandiu. Esta não é mais apenas uma rede interna da organização. Inclui endpoints, APIs, provedores, parceiros e clientes. Hoje, muitos hacks não ocorrem no sistema central, mas por meio de integrações de terceiros. Se você não entende os riscos para terceiros, você não entende sua postura de segurança.
O que realmente significa confiança digital hoje, especialmente com deepfakes e identidades sintéticas se tornando comuns?
Akshay: A confiança digital significa que os utilizadores confiam que a sua identidade, dados e transações estão protegidos. Trata-se de confidencialidade, integridade, privacidade e transparência. Seja bancário, UPI, serviços baseados em Aadhaar ou DigiYatra, a confiança é construída quando os sistemas autenticam os usuários com segurança e protegem seus dados em todos os momentos. Uma vez quebrada essa confiança, os usuários hesitam em usar ferramentas digitais.
Como as startups e empresas em crescimento devem abordar a Lei de Privacidade Digital (DPDP) da Índia?
Akshay: O primeiro passo é entender quais dados pessoais você coleta, onde são armazenados e como eles se movem pelos seus sistemas. Muitas organizações nem sabem disso. Os dados muitas vezes começam no papel, são digitalizados e depois fluem para sistemas digitais sem controlos adequados. O DPDP obriga as empresas a assumirem responsabilidades. Se você desenvolver mecanismos de privacidade e consentimento antecipadamente, a conformidade será muito mais fácil.
As startups voltadas para o consumidor e D2C enfrentam os mesmos riscos e responsabilidades?
Akshay: Absolutamente. Até mesmo pequenas empresas D2C coletam nomes, números de telefone, endereços e informações de pagamento. Se esses dados vazarem, eles poderão ser usados para golpes e fraudes. A escala não diminui a responsabilidade. Se você coletar dados pessoais, você é responsável por protegê-los.
Como as organizações devem pensar sobre a proteção dos modelos de IA e dos dados de treinamento?
Akshay: A segurança da IA não envolve apenas ataques cibernéticos. Isto também se aplica à forma como os dados são usados. Se você treinar modelos com base em dados pessoais ou confidenciais sem o devido consentimento, poderá violar as leis de proteção de dados. Os modelos públicos desconfiam disto, mas os modelos privados criados casualmente podem ultrapassar os limites legais e éticos. A governança em torno da IA é crítica.
Há muito entusiasmo em torno da IA. O que estão faltando aos fundadores e investidores?
Akshay: O maior risco é o uso descuidado dos dados. Para DPDP as multas podem atingir $$250 milhões. A IA não deve ser tratada como um brinquedo. Os investidores devem perguntar se as startups compreendem conformidade, governação e responsabilidade a longo prazo. A IA deve resolver problemas reais, não apenas existir para marketing.
O futuro exige mais automação ou mais controle humano na segurança cibernética?
Akshay: Ambos. A automação é necessária para velocidade e escala, mas os humanos ainda são necessários para o contexto e a tomada de decisões. O objetivo não é remover pessoas, mas mantê-las focadas na estratégia em vez de monitorizá-las novamente.
Quão cuidadosos os líderes devem ter ao usar ferramentas como Copilot ou Gemini?
Akshay: Os líderes devem ser disciplinados. Não envie informações confidenciais. Entenda para onde vão os dados e como são armazenados. A IA deve apoiar o pensamento, e não substituir o julgamento.
