Ataques cibernéticos com IA: o que CEOs e conselhos precisam decidir em 90 dias

Isso muda a pauta do conselho. Em vez de discutir apenas ferramentas, a reunião precisa responder a perguntas de negócio: quais operações não podem parar; qual é o tempo máximo aceitável de indisponibilidade; em quanto tempo a empresa realmente consegue voltar; quem decide em caso de ransomware, falha de nuvem, comprometimento de credenciais ou paralisação de um fornecedor crítico^[1][3].

A IA entra em dois lados do risco. Ela pode ampliar a capacidade dos atacantes, mas também está sendo adotada dentro das próprias empresas. O WEF orienta responsáveis seniores por risco a avaliar as vulnerabilidades criadas pela adoção de IA, os impactos potenciais no negócio, os controles necessários e o risco residual diante dos benefícios esperados^[5].

Sete decisões para os primeiros 90 dias

1. Colocar risco cibernético como pauta permanente do conselho

Risco cibernético não deve aparecer apenas como relatório técnico trimestral. Ele precisa entrar no calendário do conselho como tema de continuidade, finanças, jurídico, reputação e governança. O NCSC é explícito ao afirmar que incidentes cibernéticos podem interromper operações, prejudicar reputação e gerar consequências financeiras e legais^[1]. Também há sinais de que a supervisão de IA e cibersegurança ganhou mais espaço nas divulgações corporativas em 2025, com explicações voluntárias mais comuns e mais robustas^[4].

O conselho não precisa acompanhar a quantidade de firewalls ou a lista completa de alertas técnicos. Precisa acompanhar riscos para operações críticas, vulnerabilidades graves sem correção, contas privilegiadas, tempos de detecção, contenção e recuperação, além da governança sobre o uso de IA^[1][5]. O WEF também coloca como pergunta para líderes se a organização definiu a tolerância correta a risco para tecnologias de IA e se essa premissa está clara para as decisões de adoção^[6].

2. Medir operações críticas e capacidade real de recuperação

Mesmo quando o ataque usa IA, o que a liderança precisa proteger primeiro são as operações essenciais. O CEO deve exigir que cada operação crítica tenha dono, tempo máximo aceitável de parada, alternativa operacional, plano de comunicação e estimativa realista de recuperação^[1][3].

Backup não é resposta se nunca foi testado. O conselho deve perguntar se as cópias estão isoladas, se a restauração já foi executada, quanto tempo levou e quais sistemas dependem de terceiros para voltar. Essa postura segue a lógica do NCSC de combinar controle do que está ao alcance da organização com preparação para eventos que fogem ao seu controle^[3].

3. Usar IA também na defesa, mas cobrar resultado

Se atacantes usam IA generativa para ganhar escala e sofisticação, a defesa não pode depender apenas de revisão manual. IA pode apoiar monitoramento, priorização de alertas, investigação inicial e correlação de sinais. Mas o ponto para o conselho não é saber se a empresa comprou uma ferramenta com IA. É saber se os tempos de detecção, contenção e recuperação melhoraram, se há registros auditáveis, quem responde pelas decisões e como exceções são aprovadas^[1][5].

O WEF recomenda que a adoção de IA seja acompanhada de avaliação de vulnerabilidades, impactos no negócio, controles necessários e risco residual^[5]. Portanto, IA defensiva deve ser tratada como capacidade operacional mensurável, não como promessa de marketing.

4. Controlar o uso interno de IA e proteger os dados

O risco não vem apenas da IA nas mãos de criminosos. O uso interno sem governança pode expor dados sensíveis, ampliar permissões, dificultar auditoria ou apoiar decisões erradas. O WEF recomenda avaliar vulnerabilidades, impactos, controles e risco residual gerados pela adoção de IA^[5].

Uma orientação conjunta de cibersegurança sobre dados de IA afirma que proteger os dados usados em sistemas de IA e aprendizado de máquina é essencial para garantir a precisão e a integridade dos resultados^[2]. Na prática, o conselho deve exigir regras claras para ferramentas internas, ferramentas externas, aplicações conectadas a LLMs, condições para inserir informações confidenciais em IA, e controles de acesso a dados de treinamento, prompts, logs, bancos vetoriais, bases de RAG e pesos de modelos^[2][5].

5. Conectar a autoridade do CISO ao poder de gestão

Não basta responsabilizar o CISO, ou diretor de segurança da informação, se ele não tem autoridade para barrar exceções perigosas, exigir correções ou influenciar decisões de adoção de IA. Como o NCSC trata risco cibernético como prioridade de conselho, o CISO precisa conseguir traduzir risco técnico em risco de negócio e reportar esse risco à alta liderança^[1].

O conselho deve verificar se o CISO pode interromper mudanças críticas inseguras, revisar exceções, participar da aprovação de projetos de IA, exigir correção de vulnerabilidades graves pelas áreas de negócio e atuar na avaliação de fornecedores relevantes. A abordagem do WEF para risco cibernético em IA também enfatiza avaliação de riscos, controles e risco residual em nível de liderança^[5].

6. Rever cadeia de fornecedores e dependência de nuvem até o contrato

A preparação contra ataques com IA não termina na fronteira da rede corporativa. O NCSC destaca a necessidade de elevar a resiliência também ao longo das cadeias de suprimentos^[3]. Por isso, SaaS, provedores gerenciados, nuvem, parceiros de desenvolvimento, processadores de dados e subsidiárias relevantes devem ser tratados como dependências críticas^[3][5].

Nos contratos com fornecedores essenciais, a empresa deve revisar requisitos de autenticação, disponibilidade de logs, prazo de notificação de incidentes, regras de uso de IA, proteção de dados, backup, direito de auditoria e obrigação de cooperação na recuperação. Quanto mais tarde chegam logs e notificações, mais lenta tende a ser a decisão sobre contenção e retomada^[3][5].

7. Trocar o painel do conselho: menos contagem de incidentes, mais resiliência

Número total de incidentes isoladamente diz pouco sobre a força real da empresa. O conselho deve enxergar a velocidade com que a organização identifica, contém e recupera operações críticas^[1][3].

Roteiro prático de 90 dias

Dias 0 a 30: tornar o risco visível para a liderança

1. Marcar uma revisão especial de risco cibernético com IA no conselho^[1][5].
2. Identificar as operações críticas e comparar o tempo máximo aceitável de parada com o tempo real de recuperação^[1][3].
3. Pedir ao CISO uma avaliação que cubra tanto ataques com IA generativa quanto riscos do uso interno de IA^[5][6].
4. Interromper o envio de dados confidenciais para ferramentas de IA não aprovadas e criar uma regra formal de exceções^[2][5].

Dias 31 a 60: fortalecer controles e recuperação

5. Priorizar executivos, administradores e contas privilegiadas na revisão de autenticação e acesso^[1][5].
6. Executar um teste de recuperação a partir de backup isolado com cenário de ransomware. No panorama de 2025 do WEF, ransomware continua sendo uma das principais preocupações^[6].
7. Listar fornecedores críticos e revisar contrato, logs, notificação de violação, uso de IA, proteção de dados e cooperação na recuperação^[3][5].

Dias 61 a 90: transformar em rotina de conselho

8. Realizar um exercício executivo com CEO, finanças, jurídico, comunicação, CISO e líderes das áreas críticas^[1][3].
9. Incluir no painel do conselho tempos de detecção, contenção e recuperação, vulnerabilidades graves não corrigidas e auditoria de uso de IA^[1][5].
10. Revisar linha de reporte do CISO, autoridade para escalar riscos, participação em aprovações de IA e recursos necessários para executar o plano^[1][5].

Perguntas que conselheiros deveriam repetir em toda reunião

• A organização definiu qual nível de risco aceita ao adotar tecnologias de IA^[6]?
• Se uma operação crítica parar, quem inicia atendimento a clientes, jurídico e comunicação, e em quantas horas^[1][3]?
• Quem pode alterar os dados usados por sistemas de IA e aprendizado de máquina, e como a integridade desses dados é verificada^[2]?
• O CISO consegue escalar diretamente riscos não corrigidos e exceções perigosas para a alta liderança^[1][5]?
• Se um fornecedor essencial for comprometido, em quanto tempo a empresa detecta o impacto e aciona alternativa operacional^[3][5]?

A conclusão é simples, mas difícil de executar: responder a ataques cibernéticos com IA não significa prometer defesa perfeita. Significa encontrar rápido, limitar o dano, manter ou recuperar operações críticas e explicar o ocorrido a clientes, reguladores e demais partes interessadas. O papel do CEO e do conselho não é escolher cada ferramenta, e sim definir tolerância a risco, dar autoridade e recursos ao CISO, cobrar evidências de recuperação e testar continuamente se o plano funciona de verdade^[1][3][5].