A conscientização sobre segurança cibernética há muito se baseia em uma premissa simples: educar os funcionários e reduzir riscos. Mas em 2026 esse modelo não se sustenta mais.
Analista Diretor do Gartner.
Isto realça a lacuna entre os programas de sensibilização tradicionais e as ameaças cibernéticas modernas.
Para Para os líderes de segurança e gestão de riscos, a conscientização por si só não é mais suficiente.
A superfície de risco humano está aumentando
A adoção da GenAI nas organizações tornou-se generalizada, com mais de 86% a gerir ou a implementar estas ferramentas. Os experimentos iniciados são rapidamente incorporados ao trabalho diário, muitas vezes sem governança ou supervisão correspondente.
De acordo com a pesquisa de inovações em segurança cibernética em gerenciamento e uso de riscos de IA de 2025 da Gartner, mais de 57% dos funcionários usam contas de trabalho pessoais da GenAI e 33% admitem colocar informações de trabalho confidenciais em ferramentas GenAI públicas ou não autorizadas.
as ameaças externas também estão evoluindo. Deepfakes e ataques avançados de phishing estão se tornando mais sofisticados graças aos recursos do GenAI. A pesquisa descobriu que 35% das organizações foram afetadas por ataques profundos, e os ataques de phishing baseados em IA dobraram nos últimos dois anos, tornando algumas ameaças mais difíceis de serem detectadas pelos funcionários.
Isto cria um duplo desafio: as organizações estão expostas tanto internamente, através da utilização de IA, como externamente, através do aumento dos ataques de IA.
Por que os programas tradicionais de conscientização falham?
A maioria dos programas de conscientização sobre segurança cibernética são desenvolvidos para uma era diferente. Eles se concentram em treinamentos regulares, campanhas periódicas e diretrizes gerais como “não clique em links suspeitos”.
Mas a GenAI muda as regras.
Primeiro, reduz a visibilidade das ameaças. O conteúdo gerado pela IA pode muitas vezes ser distinguido das comunicações legítimas, tornando muito mais difícil para os operadores confiarem nos sinais tradicionais.
Em segundo lugar, aumenta a velocidade e a escala do ataque. O que antes exigia tempo e esforço agora pode ser feito de forma automatizada e personalizada.
Terceiro, introduz um comportamento de risco completamente novo. Pronto para servir, inseguro para uso As ferramentas de IA e a comunicação não sensível através das plataformas GenAI não são abrangidas pelos modelos de formação legados.
O resultado é claro: apesar do investimento contínuo na sensibilização, o risco de exposição humana não diminui.
Da consciência ao comportamento: deve ser sustentado
Os líderes de segurança cibernética devem concentrar-se em programas de comportamento e cultura de segurança (SBCPs), que se concentram na forma como os funcionários agem em cenários do mundo real, e não apenas no que sabem.
Os SBCPs visam conduzir com segurança práticas de trabalho relacionadas à GenAI, reconhecendo que os funcionários farão julgamentos e usarão ferramentas de IA. O objetivo não é eliminar esses comportamentos, mas sim informá-los com segurança.
Na verdade, isto significa envolver a segurança no trabalho diário, em vez de tratá-lo como uma intervenção periódica. O treinamento evoluiu de módulos genéricos para simulações que replicam ataques habilitados por IA, incluindo hacks e hacks avançados.
Serão elaboradas políticas claras e proativas, abrangendo o uso da GenAI, o tratamento de dados e políticas imediatas. Os mecanismos de denúncia são altamente sofisticados para incentivar a rápida propagação de atividades suspeitas.
A mudança de comportamento requer reforço. Sessões de treinamento únicas são substituídas por envolvimento contínuo, microdisciplina e feedback em tempo real.
Fazendo as pessoas interagirem com IA
À medida que a GenAI se torna incorporada nos processos de negócios, a interação entre humanos e sistemas de IA assume um momento crítico.
Esta nova segurança e risco gestão de príncipes.
Primeiro, as organizações devem estabelecer limites claros para a utilização da GenAI. Isso inclui definir as melhores ferramentas, estabelecer padrões de classificação de dados e garantir que os funcionários corram o risco de compartilhar informações confidenciais.
Segundo, sobre governança além da TI. GenAI cruzará o risco com questões jurídicas, de conformidade, proteção de dados e tomada de decisões executivas. Sem o envolvimento da liderança sénior, os esforços para gerir estes riscos permanecerão limitados.
Terceiro, as organizações devem investir na alfabetização em IA. Os funcionários precisam entender não apenas como usar as ferramentas da Genai, mas também como elas podem ser manuseadas. Isso inclui reconhecer alucinações, validar resultados e manter a perspectiva de uma pessoa.
Finalmente, as equipas de segurança devem aceitar um certo nível de fricção operacional. Desacelerar para verificar uma solicitação incomum ou validar a saída gerada pela IA não é mais ineficiência, é resiliência.
A cultura cultural, e não a tecnologia, é o ponto de viragem
Existe a tentação de ver o risco cibernético relacionado com a GenAI como um problema técnico que pode ser resolvido com melhores ferramentas, mais governação ou políticas mais fortes.
Mas o argumento sugere o contrário.
A dependência excessiva dos controlos técnicos pouco faz para abordar os factores comportamentais do risco. Os funcionários continuam a encontrar soluções alternativas caso as medidas de segurança sejam percebidas como barreiras frutas Enquanto isso, os atacantes continuam a confiar na curiosidade e na insistência humana.
É necessária uma mudança cultural.
A segurança deve ser quebrada como uma ferramenta para a adoção segura da IA, capacitando os funcionários a agirem de forma responsável e reportarem atividades suspeitas. O objetivo não é eliminar todos os riscos, mas construir um ambiente onde os comportamentos possam falhar com segurança.
O que vem a seguir?
GenAI é uma mudança fundamental nas operações organizacionais e nas ameaças cibernéticas. Os programas de sensibilização para a cibersegurança devem evoluir para se concentrarem no comportamento, incorporar a segurança nas rotinas diárias e tratar o risco humano como dinâmico e gerido continuamente.
Num mundo impulsionado pela IA, os líderes de segurança e gestão de riscos devem lembrar-se de que o risco é definido menos pelo conhecimento e mais pelos funcionários nas coisas que fazem.
Desenvolvemos a melhor criptografia apresentada.
Este artigo foi produzido como parte do Perspectiva do TechRadarNosso canal reúne as melhores e mais brilhantes mentes da indústria de tecnologia atual.
As opiniões expressas aqui são de responsabilidade do autor e não necessariamente da TechRadarPro ou Future Plc. Se ajudar, você pode encontrar mais informações aqui: https://www.techradar.com/pro/perspectives-how-to-submit
