Gostemos ou não, a IA transformará a estratégia cibernética em 2026

Abordagens de maturação

Rik Ferguson, vice-presidente de inteligência de segurança da Forescout, afirma que a abordagem da indústria cibernética em relação à IA amadurecerá este ano.

“Espero ver uma adoção mais séria e menos alardeada da IA no lado defensivo: correlacionando sinais fracos em TI, TO [tecnologia operacional], nuvem e identidade, mapeando e priorizando continuamente ativos e exposições e reduzindo a carga cognitiva dos analistas por meio da automação da triagem”, diz Ferguson.

Ele acrescenta, no entanto, que isso não significa necessariamente analistas cibernéticos desempregados parados em esquinas segurando cartazes que dizem "Red Teaming em troca de comida".

“Se feito corretamente, não se trata de substituir pessoas; trata-se de dar a elas espaço mental para pensar e se dedicar a coisas mais gratificantes”, diz Ferguson.

Haris Pylarinos, cofundador e CEO da Hack The Box, acrescenta: "A inteligência artificial não apenas acelera a resposta; ela também redefinirá completamente como os profissionais de segurança aprimoram suas habilidades, as implementam e, em última instância, como são responsabilizados."

“O setor está entrando em uma fase em que as habilidades estão mudando da detecção para o julgamento e para o aprendizado de como aprender. As organizações que tiverem sucesso não serão aquelas que automatizarem mais, mas sim aquelas que redesenharem seus modelos de força de trabalho e tomada de decisões em torno de sistemas inteligentes.”

Segundo Pylarinos, esses novos modelos de força de trabalho se concentrarão em testar equipes híbridas de humanos e IA. Os profissionais de cibersegurança do futuro, sugere ele, não serão tecnólogos, mas sim validadores, analistas de cenários adversários e auditores comportamentais.

“Os profissionais de cibersegurança mais valorizados serão aqueles que conseguirem testar o comportamento da IA sob pressão em condições realistas, garantindo que a velocidade da máquina não exceda o julgamento humano”, afirma.

De acordo com Dave Gerry, CEO da Bugcrowd, expandir a adoção da IA nas empresas é um motivo para manter mais pessoas envolvidas.

“O tráfego para sites de IA generativa aumentou 50% [entre fevereiro de 2024 e janeiro de 2025], enquanto 68% dos funcionários usaram ferramentas gratuitas e 57% admitiram inserir dados sensíveis nelas. Portanto, é crucial lembrar que as vulnerabilidades geradas por IA e desinformação já existem”, afirma ele.

“A comunidade de segurança precisa se concentrar em técnicas de manipulação de modelos, como injeção rápida, e testar proativamente esses sistemas de IA da perspectiva dos atacantes. Os testes colaborativos continuam sendo uma de nossas defesas mais fortes, mesmo contra vetores de ataque novos e em constante evolução. Pesquisadores humanos com habilidades diversas podem detectar o que outros não percebem.”

Transição defensiva

Enquanto isso, Sood de Aryaka se concentra nas transições técnicas subjacentes que impulsionam a mudança no papel do profissional de segurança.

Ele teoriza que, à medida que as organizações aumentam sua dependência da IA — especialmente da IA que se apresenta na forma de agentes — as equipes de segurança perceberão que suas prioridades estão mudando, deixando de ser a resposta e a correção de falhas e outros problemas, e passando a ser o controle dos processos de tomada de decisão dentro da organização.

Isso introduzirá uma série de novas estratégias defensivas, diz ele. Primeiro, veremos equipes de segurança desenvolverem camadas de governança em torno dos fluxos de trabalho de agentes de IA para autenticar, autorizar, monitorar — e potencialmente reverter — qualquer ação automatizada.

“O foco será ampliado, passando da proteção de dados para a proteção comportamental”, afirma Sood.

As equipes de segurança cibernética também precisarão lidar com o risco de proliferação silenciosa de dados, a criação de conjuntos de dados ocultos e caminhos de acesso não intencionais, à medida que agentes e outros sistemas de IA transferem, transformam e replicam dados sensíveis. Um rastreamento robusto da linhagem de dados e controles de acesso ainda mais rigorosos serão essenciais. E, assim como a análise do comportamento do usuário evoluiu e amadureceu para contas humanas, também precisará fazer o mesmo para estabelecer comportamentos esperados e permitidos para a IA.

As estratégias defensivas em 2026 também precisarão se adaptar ao cenário em constante evolução da confiança. A IA empresarial exige verificação de confiança em todas as camadas, portanto, Sood recomenda que as equipes de segurança busquem arquiteturas que minimizem a necessidade de confiança, onde as identidades, os resultados e as decisões automatizadas da IA estejam sujeitos a auditoria e validação contínuas.

Em relação à identidade, uma gestão mais robusta do ciclo de vida da identidade não humana (NHI) também deve ser priorizada. E a confiança zero como requisito de conformidade também se tornará cada vez mais importante.

Por fim, Sood afirma que, dado que os ciberataques continuarão a explorar ferramentas legítimas em 2026, será necessária uma detecção baseada na intenção aprimorada, com sistemas que analisem "por que" as ações foram realizadas, em vez de simplesmente constatar que foram realizadas.

Se 2025 nos ensinou que a confiança pode ser uma arma, 2026 nos ensinará como reconstruí-la de forma mais segura e deliberada. O futuro da cibersegurança não se resume apenas à proteção de sistemas, mas também à proteção da lógica, da identidade e da autonomia que os impulsionam, afirma ele.

Como comprar IA com segurança

Em 2026, os compradores com conhecimento em IA também farão perguntas cada vez mais difíceis aos seus fornecedores de TI, diz Ellie Hurst, diretora comercial da Advent IM.

Hurst afirma que simplesmente copiar e colar um texto padrão sobre "usar IA de forma responsável" nos slides poderia ter sido uma boa ideia alguns anos atrás, mas em 2026, o fornecedor será justamente expulso para o estacionamento se ousar tentar isso.

Os compradores corporativos, principalmente nos setores governamental, de defesa e de infraestrutura nacional crítica, estão agora utilizando IA extensivamente. Eles entendem a linguagem do risco. Estão estabelecendo conexões entre IA, proteção de dados, resiliência operacional e exposição da cadeia de suprimentos, afirma Hurst.

Até 2026, as equipes de compras não só perguntarão se seus fornecedores usam IA, mas também como a gerenciam, explica.

Ao longo de 2025, diz Hurst, a linguagem nos pedidos de propostas e convites para licitações relacionados à IA tornou-se dramaticamente mais rigorosa, com os compradores perguntando cada vez mais sobre questões como soberania de dados, supervisão humana, responsabilidade do modelo e conformidade com a proteção de dados, segurança e regulamentação de propriedade intelectual.

Essa mudança decorre do reconhecimento de que a IA tem sido usada, em grande parte, caso a caso, e a maioria dos líderes de TI não pode afirmar com certeza o que exatamente aconteceu sob sua supervisão. Isso cria um desafio significativo em termos de governança, risco e conformidade (GRC).

Mas a boa notícia, segundo Hurst, é que isso pode ser revertido. Uma governança de IA bem implementada não visa sufocar ou proibir a inovação, mas sim integrá-la às práticas de GRC (Governança, Risco e Conformidade) da organização, de modo que seu uso possa ser explicado, escalado e, crucialmente, defendido.

Os compradores devem considerar perguntar onde a IA é usada nos serviços de seus fornecedores, quais fluxos de trabalho lidam com dados sensíveis, quais modelos ou plataformas de IA de terceiros são usados e qual a supervisão em vigor. Hurst também aconselha os compradores a procurarem fornecedores que estejam em conformidade com a ISO/IEC 42001, um novo padrão para gerenciamento do ciclo de vida da IA, incluindo segurança cibernética.

Em última análise, ele afirma que, se o fornecedor em potencial estiver devidamente preparado, deverá ser capaz de apresentar uma narrativa clara sobre como a IA é governada como parte da estrutura mais ampla de segurança e GRC (Governança, Risco e Conformidade).

Vencedores e perdedores

Mal passou um mês, e a história completa de 2026, claro, ainda está sendo escrita. Sem dúvida, será mais um ano turbulento para o mundo da cibersegurança, mas Young, da Bridewell, afirma que, embora 2026 possa não ser necessariamente o ano mais catastrófico para a segurança, a IA nos trouxe à beira do abismo, e o que acontecerá a seguir poderá tornar os próximos meses verdadeiramente reveladores.

“As decisões que as organizações tomarem agora em relação à retomada dos investimentos, à reconstrução das competências cibernéticas e à governança responsável da IA determinarão se a curva se inclinará para a resiliência ou para uma maior fragilidade”, conclui Young.