A IMPORTÂNCIA DO SER HUMANO: SEGURANÇA E IA. ONDE VOCÊ ESTÁ?

A cada novo ciclo de hype tecnológico, a narrativa se repete. A culpa “agora” é do firewall que não estava bem configurado, do antivírus que falhou, do zero-day inevitável ou, na moda mais recente, da inteligência artificial que “virou ameaça”.

Só que quase sempre existe um fio condutor bem menos confortável: gente. Pessoas decidem, pessoas clicam, pessoas aprovam, pessoas ignoram alertas, pessoas pedem exceções, pessoas implementam atalhos, pessoas compram soluções para “resolver tudo” e pessoas, também, constroem defesas incríveis quando há prioridade, clareza e, principalmente, liderança. A tecnologia aparece em todas as histórias, mas o personagem principal costuma ser humano.

O ser humano é protagonista no ataque e na defesa porque cibersegurança, no fundo, é uma disciplina de decisão sob risco. Um atacante não invade “sistemas” em abstrato, ele explora comportamentos previsíveis, metas de negócio, pressa, confiança e incentivos. Um defensor não “protege ativos” em abstrato, ele escolhe o que priorizar, o que medir, o que aceitar, o que bloquear e o que educar. Até quando falamos de automação e IA, o ponto de partida e o ponto de falha continuam sendo pessoas: alguém treinou, integrou, operou, ignorou uma recomendação ou colocou um agente para agir com permissões além do necessário.

JÁ DIZIA HOMER SIMPSONS: A CULPA É MINHA, COLOCO EM QUEM EU QUISER!

Em ataques, isso fica evidente no domínio da engenharia social. Phishing, pretexting, golpes com urgência fabricada, falsos boletos, fraudes de pagamento e deepfakes funcionam menos por “sofisticação técnica” e mais por acerto psicológico. A IA não cria a vulnerabilidade humana, ela aumenta escala, personalização e velocidade.

A mensagem mal escrita que antes denunciava um golpe hoje chega com linguagem impecável, contexto plausível e timing cirúrgico. Ainda assim, o clique continua sendo um ato humano. O mesmo vale para a chamada fadiga de MFA, quando a pessoa aprova notificações só para “parar de apitar”, ou para o compartilhamento informal de credenciais porque “é só dessa vez”. A máquina acelera, mas a decisão final, muitas vezes, ainda é uma permissão concedida por alguém.

Em fraudes corporativas, o fator humano aparece de forma ainda mais direta, porque o objetivo nem sempre é invadir. Muitas vezes é convencer. O atacante não precisa derrubar uma barreira criptográfica se conseguir mover dinheiro com um e-mail bem construído, uma ligação com autoridade simulada ou um “ajuste rápido” no processo. A governança falha quando a organização tem controles no papel, mas premia velocidade acima de validação. E falha quando o processo é tão burocrático que as pessoas criam atalhos para sobreviver. Nesse cenário, segurança vira fricção, e fricção, quando não é desenhada com empatia e clareza, vira desvio.

Em vazamentos de dados, o humano também é o ponto de maior exposição, mas não apenas pelo “erro”. Há vazamento por descuido, por desconhecimento, por fadiga, por excesso de permissões e por pressão operacional.

Há vazamento por configuração incorreta, que geralmente nasce de decisões de arquitetura e de processos de mudanças mal definidos, não de maldade. E há vazamento por comportamento deliberado, o funcionário ou ex-funcionário que vaza por vingança, por ganho ou por coerção.

Em todos os casos, a pergunta que muda o jogo não é “quem errou?”, mas “por que o sistema deixou esse erro acontecer sem detectar, limitar e recuperar?”. Cultura e desenho de processos importam tanto quanto a ferramenta.

Quando o assunto são artefatos maliciosos, o roteiro não muda. Alguém escreveu o malware, alguém vendeu o acesso, alguém montou a infraestrutura e alguém apertou o botão no momento certo. Mesmo nos ataques mais automatizados, existe intenção e interesse humano nos bastidores, escolhendo alvos, calibrando retorno financeiro, ajustando campanhas. Do outro lado, existe intenção e interesse humano também, definindo se logs serão coletados, se alertas serão tratados, se a resposta será coordenada, se o backup é testado e se haverá tempo de correção antes que vire incidente.

A tecnologia é o meio. A intenção e a disciplina são humanas.

DE RENPENTE, CHEGOU A INTELIGÊNCIA ARTIFICIAL

E então chegamos aos agentes de IA, que parecem inaugurar um novo tipo de risco, mas ainda orbitam o mesmo centro. Um agente que executa ações em nome de um usuário pode ser perigoso em dois planos. No plano real, ele pode amplificar erros clássicos: excesso de permissões, integrações inseguras, confiança cega no output, falta de validação e ausência de trilhas de auditoria.

No plano teórico, ele pode intensificar problemas de alinhamento e de controle quando recebe objetivos vagos, incentivos errados e capacidade de agir sem limites claros. Só que, novamente, isso não “surge da IA”. Surge do desenho humano: alguém definiu o que o agente pode fazer, com quais credenciais, em qual ambiente, com que validações, com qual supervisão e com qual responsabilização. Um agente não é perigoso porque “pensa”, ele é perigoso porque alguém o conectou a sistemas reais com autoridade suficiente para causar impacto.

Se o ser humano é o principal ator, a conclusão prática não é culpar pessoas. É tratar pessoas como parte do sistema de segurança. Isso significa reduzir decisões de alto risco em momentos de pressão, tornar o caminho seguro o caminho mais fácil, desenhar controles que funcionem no mundo real e treinar comportamento com continuidade, não com campanhas ocasionais. Significa também medir o que importa, como taxa de clique em simulações, tempo de revogação de acesso, maturidade de revisão de permissões, cobertura de logs e tempo de correção. Significa proteger processos críticos com validações duplas e rastreabilidade, e não com “boa vontade”. E significa, principalmente, liderança. Segurança madura é aquela em que as pessoas entendem por que estão fazendo, o que estão protegendo e o que acontece quando ignoram.

E VOCÊ, ONDE ESTÁ?

O título deste artigo termina com uma pergunta por um motivo: onde você está nessa história? Você é a pessoa que exige velocidade e normaliza exceções, ou a pessoa que desenha o processo para que exceção seja rara e verificável? Você é a pessoa que “confia na ferramenta” e desliga alertas, ou a pessoa que cria rotina de resposta e aprendizado? Você é a pessoa que coloca um agente de IA para operar com privilégios amplos “só para testar”, ou a pessoa que começa pelo mínimo, valida, audita e controla? A tecnologia vai continuar mudando. O protagonista, não.

Por Fernando Bryan Frizzarin

https://www.linkedin.com/pulse/import%C3%A2ncia-do-ser-humano-seguran%C3%A7a-e-ia-onde-voc%C3%AA-bryan-frizzarin-pbnnf/?trackingId=mkij%2BK50SGG9yVIB72SgAg%3D%3D