O crescimento das ameaças digitais, o uso acelerado da inteligência artificial e os desafios da governança em ambientes conectados pautaram o último painel do Tech Gov Fórum ES 2026, realizado em Vitória, com o tema “Resiliência Cibernética no Mundo Digital – Tecnologias, Gestão e Governança”.
O debate reuniu especialistas em segurança da informação, gestão de riscos, cibersegurança corporativa e investigação de crimes digitais para discutir como empresas e órgãos públicos podem fortalecer sua capacidade de prevenção, resposta e recuperação diante de ataques cibernéticos cada vez mais sofisticados.
A mediação foi conduzida pela analista de segurança da informação e integrante do grupo Mulheres da TI, Mayanne Sepulchro, que provocou os participantes sobre os impactos
da cultura organizacional, da inteligência artificial e da governança na proteção digital.
O CISO Corporativo do Grupo Águia Branca, William Telles, abriu o painel alertando que a tecnologia, por si só, não representa o principal risco para as organizações. “Tecnologia não é risco. O problema é a adoção sem governança”, afirmou, dizendo que muitas empresas implementam soluções tecnológicas sem realizar análises prévias de risco, especialmente diante da corrida atual pelo uso da inteligência artificial. “Todo mundo começou a testar IA muito rapidamente, mas sem avaliar quem vai utilizar, como vai utilizar e quais permissões estarão sendo concedidas”, explicou.
Telles citou casos recentes envolvendo agentes de inteligência artificial que executaram ações indevidas por excesso de permissões concedidas pelos usuários. “O agente de IA faz exatamente aquilo que você permite. Se você entrega suas credenciais, ele terá acesso a tudo o que aquela credencial permite”, destacou.
Para o especialista, aplicações baseadas em IA devem ser tratadas da mesma forma que sistemas corporativos tradicionais, com permissões específicas, segregação de acesso e monitoramento constante. “A análise de risco precisa acontecer antes da adoção da tecnologia”, reforçou.
O diretor executivo de Estratégia, Cibersegurança e Riscos da DropReal, Manoel Ramos, afirmou que toda nova tecnologia implementada nas organizações deve estar associada a controles robustos de risco. “O uso descontrolado da IA traz riscos para as organizações, principalmente porque o crime cibernético também está utilizando inteligência artificial para atacar”, afirmou.
Para Ramos, a pressão por resultados rápidos frequentemente acelera a adoção de ferramentas sem maturidade suficiente de governança. Ele destacou ainda a importância da ISO 42001, norma internacional voltada especificamente para governança e gestão de inteligência artificial. “Essa ISO pode ser muito bem utilizada dentro das organizações para estruturar políticas de governança de IA”, explicou.
O delegado titular da Delegacia de Repressão aos Crimes Cibernéticos da Polícia Civil do Espírito Santo, Brenno Andrade, relatou experiências práticas do uso de inteligência artificial dentro da própria delegacia especializada. “Comecei a utilizar algumas ferramentas e desenvolvi uma aplicação para a delegacia. Hoje é possível programar muito rapidamente utilizando IA”, afirmou, lembrando que após cerca de 20 dias refinando o sistema, foi realizado um teste de segurança que apresentou resultados insatisfatórios. “Quando perguntei à própria IA sobre o problema, ela respondeu que havia focado na arquitetura e não na segurança”, contou.
O delegado destacou que, por envolver dados sensíveis, o sistema só pôde ser implementado após ajustes específicos de proteção. “Essa questão da governança precisa ser feita de forma robusta”, afirmou.
Andrade também ressaltou que as forças policiais enfrentam dificuldades para competir com o mercado privado na contratação de profissionais especializados em tecnologia e segurança digital. “A polícia precisa usar inteligência artificial para maximizar processos”, declarou.
Ao discutir o papel da cultura organizacional na resiliência cibernética, Ramos afirmou que a conscientização precisa começar pela alta gestão. “Cibersegurança e crime cibernético não são brincadeira. Hoje, as fraudes digitais já ultrapassam os danos causados por crimes armados”, destacou.
Por conta disso um dos grandes desafios atuais é transformar informações técnicas em linguagem compreensível para executivos e gestores estratégicos. “Precisamos de uma cultura mais madura na alta gestão, entendendo que segurança digital exige recursos e prioridade”, afirmou.
Telles reforçou que tecnologia e comportamento humano precisam ser tratados de maneira complementar. “A tecnologia protege sistemas. A cultura protege comportamento”, disse, citando exemplos simples, mas ainda comuns no ambiente corporativo, como senhas anotadas em papéis presos ao computador. “Você pode ter a melhor tecnologia do mundo, mas não resolve nada se o colaborador deixa a senha em um post-it debaixo do teclado”, alertou.
Segundo Telles, a mudança de comportamento não ocorre por meio de treinamentos esporádicos. “Não é uma palestra anual que muda uma cultura organizacional. Isso exige regularidade”, afirmou.
Andrade também chamou atenção para a diferença entre conscientização e mudança efetiva de comportamento. “Muitas empresas falam sobre ferramentas, mas pouco se discute treinamento contínuo dos usuários”, disse.
Ramos destacou que um dos problemas mais recorrentes nas organizações é a reutilização de credenciais corporativas em serviços pessoais. “O que mais vemos são e-mails corporativos sendo usados em aplicativos de delivery, streaming e outros serviços externos”, afirmou.
Telles comparou o comportamento digital das pessoas ao uso de chaves físicas. “As pessoas usam chaves diferentes para casa, carro e escritório, mas continuam utilizando a mesma senha para vários sistemas”, observou.
Questionados sobre como medir a capacidade de recuperação de uma organização diante de ataques cibernéticos, os especialistas defenderam a realização constante de testes práticos e simulações de crise. “A teoria é muito diferente da prática. A maturidade é medida pela capacidade real de aplicar aquilo que está previsto quando a crise acontece”, afirmou Andrade.
Telles reforçou que organizações não podem presumir resiliência sem validação prática. “Resiliência não medida é resiliência presumida”, declarou. Para ele, as empresas precisam realizar simulações completas de ataques, envolvendo abertura de salas de crise, testes operacionais e validação de respostas internas. “Só assim é possível garantir que a organização estará preparada quando um incidente acontecer”, afirmou.
Ramos acrescentou que os testes contínuos permitem aprimorar protocolos e reduzir danos em ataques futuros. “O pior cenário é sofrer um incidente e depois repetir exatamente os mesmos erros”, concluiu.
